Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 42

Tableau récapitulatif :

Vulnérabilités critiques du 16/10/23 au 22/10/23

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
AXIS AXIS OS CVE-2023-21413 9.1 Exécution de code arbitraire à distance 16/10/2023 Pas d'information CERTFR-2023-AVI-0849 https://www.axis.com/dam/public/ad/ff/83/cve-2023-21413pdf-en-US-412755.pdf
VMware VMware Aria Operations for Logs CVE-2023-34051 8.1 Exécution de code arbitraire à distance 19/10/2023 Informations publiques CERTFR-2023-AVI-0870 https://www.vmware.com/security/advisories/VMSA-2023-0021.html
SonicWall Pare-feux CVE-2023-39277 7.7 Déni de service à distance 17/10/2023 Informations publiques CERTFR-2023-AVI-0852 https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0012
SonicWall Pare-feux CVE-2023-39278 7.7 Déni de service à distance 17/10/2023 Informations publiques CERTFR-2023-AVI-0852 https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0012
SonicWall Pare-feux CVE-2023-39279 7.7 Déni de service à distance 17/10/2023 Informations publiques CERTFR-2023-AVI-0852 https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0012
SonicWall Pare-feux CVE-2023-39280 7.7 Déni de service à distance 17/10/2023 Informations publiques CERTFR-2023-AVI-0852 https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0012
SonicWall Pare-feux CVE-2023-41711 7.7 Déni de service à distance 17/10/2023 Informations publiques CERTFR-2023-AVI-0852 https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0012
SonicWall Pare-feux CVE-2023-41712 7.7 Déni de service à distance 17/10/2023 Informations publiques CERTFR-2023-AVI-0852 https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0012
SonicWall Pare-feux CVE-2023-41713 4.3 Contournement de la politique de sécurité 17/10/2023 Informations publiques CERTFR-2023-AVI-0852 https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0012
Oracle WebLogic Server CVE-2022-29599 9.8 Exécution de code arbitraire à distance 17/10/2023 Pas d'information CERTFR-2023-AVI-0861 https://www.oracle.com/security-alerts/cpuoct2023verbose.html#FMW
Oracle WebLogic Server CVE-2023-22069 9.8 Exécution de code arbitraire à distance 17/10/2023 Pas d'information CERTFR-2023-AVI-0861 https://www.oracle.com/security-alerts/cpuoct2023verbose.html#FMW
Oracle WebLogic Server CVE-2023-22072 9.8 Exécution de code arbitraire à distance 17/10/2023 Pas d'information CERTFR-2023-AVI-0861 https://www.oracle.com/security-alerts/cpuoct2023verbose.html#FMW
Oracle WebLogic Server CVE-2023-22089 9.8 Exécution de code arbitraire à distance 17/10/2023 Pas d'information CERTFR-2023-AVI-0861 https://www.oracle.com/security-alerts/cpuoct2023verbose.html#FMW
Oracle WebLogic Server, PeopleSoft Enterprise HCM Global Payroll Switzerland CVE-2022-42920 9.8 Exécution de code arbitraire à distance 17/10/2023 Pas d'information CERTFR-2023-AVI-0864 https://www.oracle.com/security-alerts/cpuoct2023verbose.html#PS
Cisco IOS XE Web UI CVE-2023-20198 10 Exécution de code arbitraire à distance 16/10/2023 Exploitée CERTFR-2023-AVI-0878 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
Cisco IOS XE Web UI CVE-2023-20273 7.2 Élévation de privilèges 16/10/2023 Exploitée CERTFR-2023-AVI-0878 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

CVE-2023-34034 : Vulnérabilité dans Oracle MySQL

La vulnérabilité CVE-2023-34034 affecte Spring Security, l'un des composants d'Oracle MySQL. Elle permet à un attaquant de prendre le contrôle de MySQL Enterprise Monitor. Son score CVSSv3 est 9,8.

Liens :

Alertes CERT-FR

CVE-2023-20198 et CVE-2023-20273 : Multiples vulnérabilités dans Cisco IOS XE

Les vulnérabilités CVE-2023-20198 et CVE-2023-20273 sont activement exploitées. Elles permettent à un attaquant non authentifié de prendre le contrôle des équipements vulnérables par le biais de l'interface de gestion Web. Le CERT-FR rappelle que l'exposition d'une interface d'administration sur Internet est contraire aux bonnes pratiques.

Liens :

CVE-2023-34051 : Vulnérabilité dans Citrix NetScaler ADC et NetScaler Gateway

La vulnérabilité CVE-2023-34051 permet à un attaquant de prendre le contrôle de sessions actives avec le niveau de privilèges des utilisateurs concernés. Elle est activement exploitée.

Liens :

Autres vulnérabilités

CVE-2023-4069 : Vulnérabilité dans Google Chrome

Le chercheur qui a découvert la vulnérabilité CVE-2023-4069 affectant Chrome (et Edge) a publié ses travaux.

Liens :


La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 16 octobre 2023 au 22 octobre 2023, le CERT-FR a émis les publications suivantes :