Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 26

Tableau récapitulatif :

Vulnérabilités critiques du 26/06/23 au 02/07/23

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Grafana Grafana CVE-2023-3128 9.4 Contournement de la politique de sécurité 22/06/2023 Pas d'information CERTFR-2023-AVI-0497 https://grafana.com/blog/2023/06/22/grafana-security-release-for-cve-2023-3128/
Tenable Nessus Network Monitor (sqlite) CVE-2019-19317 9.8 Non spécifié par l'éditeur 29/06/2023 Pas d'information CERTFR-2023-AVI-0499 https://www.tenable.com/security/tns-2023-23
Tenable Nessus Network Monitor (c-ares) CVE-2016-5180 9.8 Non spécifié par l'éditeur 29/06/2023 Pas d'information CERTFR-2023-AVI-0499 https://www.tenable.com/security/tns-2023-23
Tenable Nessus Network Monitor (curl) CVE-2023-23914 9.1 Non spécifié par l'éditeur 29/06/2023 Pas d'information CERTFR-2023-AVI-0499 https://www.tenable.com/security/tns-2023-23
Tenable Nessus Network Monitor (libbzip2) CVE-2019-12900 9.8 Non spécifié par l'éditeur 29/06/2023 Pas d'information CERTFR-2023-AVI-0499 https://www.tenable.com/security/tns-2023-23
Tenable Nessus Network Monitor (libxml2) CVE-2017-16931 9.8 Non spécifié par l'éditeur 29/06/2023 Pas d'information CERTFR-2023-AVI-0499 https://www.tenable.com/security/tns-2023-23
Tenable Nessus Network Monitor (libxml2) CVE-2017-8872 9.1 Non spécifié par l'éditeur 29/06/2023 Pas d'information CERTFR-2023-AVI-0499 https://www.tenable.com/security/tns-2023-23
Tenable Nessus Network Monitor (libxml2) CVE-2017-7376 9.8 Non spécifié par l'éditeur 29/06/2023 Pas d'information CERTFR-2023-AVI-0499 https://www.tenable.com/security/tns-2023-23
Tenable Nessus Network Monitor (libxml2) CVE-2017-7375 9.8 Non spécifié par l'éditeur 29/06/2023 Pas d'information CERTFR-2023-AVI-0499 https://www.tenable.com/security/tns-2023-23
Tenable Nessus Network Monitor (libxml2) CVE-2016-4448 9.8 Non spécifié par l'éditeur 29/06/2023 Pas d'information CERTFR-2023-AVI-0499 https://www.tenable.com/security/tns-2023-23
Tenable Nessus Network Monitor (libxml2) CVE-2015-8710 9.8 Non spécifié par l'éditeur 29/06/2023 Pas d'information CERTFR-2023-AVI-0499 https://www.tenable.com/security/tns-2023-23
Tenable Nessus Network Monitor (libxslt) CVE-2019-11068 9.8 Non spécifié par l'éditeur 29/06/2023 Pas d'information CERTFR-2023-AVI-0499 https://www.tenable.com/security/tns-2023-23
Tenable Nessus Network Monitor (libxslt) CVE-2016-4609 9.8 Non spécifié par l'éditeur 29/06/2023 Pas d'information CERTFR-2023-AVI-0499 https://www.tenable.com/security/tns-2023-23
Tenable Nessus Network Monitor (libxslt) CVE-2016-4607 9.8 Non spécifié par l'éditeur 29/06/2023 Pas d'information CERTFR-2023-AVI-0499 https://www.tenable.com/security/tns-2023-23
Tenable Nessus Network Monitor (sqlite) CVE-2020-35527 9.8 Non spécifié par l'éditeur 29/06/2023 Pas d'information CERTFR-2023-AVI-0499 https://www.tenable.com/security/tns-2023-23
Tenable Nessus Network Monitor (sqlite) CVE-2020-11656 9.8 Non spécifié par l'éditeur 29/06/2023 Pas d'information CERTFR-2023-AVI-0499 https://www.tenable.com/security/tns-2023-23
Tenable Nessus Network Monitor (sqlite) CVE-2019-19646 9.8 Non spécifié par l'éditeur 29/06/2023 Pas d'information CERTFR-2023-AVI-0499 https://www.tenable.com/security/tns-2023-23
MongoDB Ops Manager Server (Go) CVE-2023-24540 9.8 Non spécifié par l'éditeur 15/06/2023 Pas d'information CERTFR-2023-AVI-0500 https://www.mongodb.com/docs/ops-manager/current/release-notes/application/#onprem-server-6-0-15

Autres vulnérabilités

CVE-2016-4658, CVE-2022-32207 et CVE-2022-32221 : Multiples vulnérabilités dans Tenable Nessus Network Monitor

En complément des vulnérabilités mentionnées dans le tableau, Tenable a également proposé des correctifs pour des vulnérabilités critiques affectant des composants tiers de Nessus Network Monitor, à savoir cURL (CVE-2016-4658 et CVE-2022-32207) et la bibliothèque libxml2 (CVE-2022-32221).

Liens :

CVE-2022-33980, CVE-2022-42889 et CVE-2023-24540: Multiples vulnérabilités dans IBM Db2

Des correctifs sont disponibles pour les vulnérabilités critiques affectant des composants tiers de Db2. Les vulnérabilités CVE-2022-42889, CVE-2022-33980 et CVE-2023-24540 affectent respectivement la bibliothèque Apache Commons Text, Apache Commons Configuration ainsi que le langage de programmation Go.

Liens :

CVE-2023-3460, CVE-2023-2982 : Multiples vulnérabilités dans des greffons de WordPress

Les 28 et 29 juin 2023, des chercheurs ont publiés des informations sur des vulnérabilités critiques affectant deux greffons (plugins) de la solution WordPress. La vulnérabilité CVE-2023-2982 concerne le plugin miniOrange et permet à un attaquant non authentifié d'obtenir les droits d'accès d'un utilisateur légitime. Cette vulnérabilité est corrigée dans la version 7.6.5 du plugin. La vulnérabilité CVE-2023-3460 affecte le plugin Ultimate Member et permet à un attaquant non authentifié de créer un compte administrateur dans l'application WordPress. Cette vulnérabilité n'est pas corrigée à l'heure de la publication de ce bulletin, il est donc fortement conseillé de désactiver ce plugin et d'effectuer des recherches afin d'identifier tout compte administrateur non légitime.

Des vulnérabilités sont régulièrements détectées dans les plugins de WordPress. Le CERT-FR recommande de sélectionner les plugins avec prudence et de n'utiliser que ceux activement maintenus, et pour lesquels des correctifs de sécurité sont publiés.

Liens :

Anciennes vulnérabilités

CVE-2023-24488 : Vulnérabilité dans Citrix ADC et Citrix Gateway

Le 10 mai 2023, un avis CERT-FR avait été publié annonçant la correction de deux vulnérabilités dans les produits Citrix ADC et Citrix Gateway. Une preuve de concept a été publiée le 29 juin 2023, expliquant comment exploiter la vulnérabilité XSS (CVE-2023-24488) afin de voler les identifiants de connexion de l'utilisateur au moyen d'un formulaire spécialement construit pour le tromper.

Le CERT-FR recommande de mettre rapidement à jour les équipements Citrix ADC et Citrix Gateway (se référer à l'avis pour l'obtention des correctifs).

Liens :


La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 26 juin 2023 au 02 juillet 2023, le CERT-FR a émis les publications suivantes :