Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 32

Tableau récapitulatif :

Vulnérabilités critiques du 07/08/23 au 13/08/23
Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Ivanti Endpoint Manager Mobile CVE-2023-35082 10 Contournement de la politique de sécurité 07/08/2023ExploitéeCERTFR-2023-AVI-0615https://forums.ivanti.com/s/article/CVE-2023-35082-Remote-Unauthenticated-API-Access-Vulnerability-in-MobileIron-Core-11-2-and-older?language=en_US
VMware Spring WebFlux/Security CVE-2023-34034 9.1 Contournement de la politique de sécurité 18/07/2023Preuve de concept publiqueCERTFR-2023-AVI-0557https://spring.io/security/cve-2023-34034
Microsoft Microsoft Visual Studio, .NET CVE-2023-38180 7.5 Déni de service à distance 08/08/2023ExploitéeCERTFR-2023-AVI-0645https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38180
Microsoft Windows (MSMQ) CVE-2023-36910 9.8 Exécution de code arbitraire à distance 08/08/2023Pas d'informationCERTFR-2023-AVI-0642https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36910
Microsoft Windows (MSMQ) CVE-2023-35385 9.8 Exécution de code arbitraire à distance 08/08/2023Pas d'informationCERTFR-2023-AVI-0642https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35385
Microsoft Microsoft Exchange Server 2016, 2019 CVE-2023-21709 9.8 Élévation de privilèges 08/08/2023Pas d'informationCERTFR-2023-AVI-0645https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21709
Microsoft Teams CVE-2023-29328 8.8 Exécution de code arbitraire à distance 08/08/2023Pas d'informationCERTFR-2023-AVI-0645https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29328
Microsoft Teams CVE-2023-29330 8.8 Exécution de code arbitraire à distance 08/08/2023Pas d'informationCERTFR-2023-AVI-0645https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29330
Adobe Magento, Adobe Commerce CVE-2023-38208 9.1 Exécution de code arbitraire à distance 08/08/2023Pas d'informationCERTFR-2023-AVI-0636https://helpx.adobe.com/security/products/magento/apsb23-42.html
SAP PowerDesigner CVE-2023-37483 9.8 Exécution de code arbitraire à distance 08/08/2023Pas d'informationCERTFR-2023-AVI-0635https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
SAP NetWeaver CVE-2023-36922 9.8 Exécution de code arbitraire à distance 08/08/2023Pas d'informationCERTFR-2023-AVI-0635https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
Belden Hirschmann Wireless OWL CVE-2022-37434 9.8 Exécution de code arbitraire à distance 08/08/2023Pas d'informationCERTFR-2023-AVI-0634https://assets.belden.com/m/1945ab4479fe62b4/original/Belden_Security_Bulletin_BSECV-2022-30_1v0.pdf
Siemens RUGGEDCOM CROSSBOW CVE-2023-37372 9.8 Exécution de code arbitraire à distance 08/08/2023Pas d'informationCERTFR-2023-AVI-0633https://cert-portal.siemens.com/productcert/html/ssa-472630.html
Siemens RUGGEDCOM ROS CVE-2023-24845 9.1 Contournement de la politique de sécurité 08/08/2023Pas d'informationCERTFR-2023-AVI-0633https://cert-portal.siemens.com/productcert/html/ssa-908185.html

CVE-2023-35082 : Vulnérabilité dans Ivanti Endpoint Manager Mobile

Le 07 août 2023, Ivanti a publié un avis de sécurité indiquant que la vulnérabilité CVE-2023-35082 affecte dorénavant toutes les versions de Endpoint Manager Mobile, et non pas uniquement les versions antérieures à 11.3 comme indiqué dans l'avis du 02 août 2023.

Cette vulnérabilité permet à un attaquant d'obtenir un accès non authentifié à des chemins d'API spécifiques afin de récupérer des informations personnellement identifiables (PII) d'utilisateurs.

Dans l’attente de la publication de la version 11.11, Ivanti fournit un programme RPM corrigeant cette vulnérabilité pour les versions 11.8.1.2, 11.9.1.2 et 11.10.0.3. Si l’équipement est dans une version antérieure, il est conseillé de le mettre à jour vers l’une de ces trois versions, puis d’exécuter le programme. La procédure est décrite dans l’avis.

L'éditeur annonce que :

  • La vulnérabilité CVE-2023-35082 est exploitable uniquement sur le protocole HTTP mais pas HTTPS ;
  • Une preuve de concept est disponible publiquement ;
  • La vulnérabilité CVE-2023-35082 est activement exploitée.

Liens :

CVE-2023-34034 : Vulnérabilité dans VMware Spring WebFlux

Le 18 juillet 2023, l'éditeur a corrigé une vulnérabilité affectant Spring WebFlux. Cette vulnérabilité permet à un attaquant d'introduire un motif générique dans la configuration du produit et de provoquer un contournement de la politique de sécurité.

Une preuve de concept est disponible publiquement, le CERT-FR encourage fortement de mettre à jour à la dernière version proposée par l’éditeur.

Liens :


La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 07 août 2023 au 13 août 2023, le CERT-FR a émis les publications suivantes :


Dans la période du 07 août 2023 au 13 août 2023, le CERT-FR a mis à jour les publications suivantes :