Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 43

Tableau récapitulatif :

Vulnérabilités critiques du 23/10/23 au 29/10/23

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Liferay DXP, Portal CVE-2023-42627 9.6 Injection de code indirecte à distance (XSS) 13/10/2023 Pas d'information CERTFR-2023-AVI-0892 https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-42627
Liferay DXP, Portal CVE-2023-44311 9.6 Injection de code indirecte à distance (XSS) 17/10/2023 Pas d'information CERTFR-2023-AVI-0892 https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-44311
Liferay DXP, Portal CVE-2023-42628 9.0 Injection de code indirecte à distance (XSS) 13/10/2023 Pas d'information CERTFR-2023-AVI-0892 https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-42628
Liferay DXP, Portal CVE-2023-42497 9.6 Injection de code indirecte à distance (XSS) 17/10/2023 Pas d'information CERTFR-2023-AVI-0880 https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-42497
Liferay DXP, Portal CVE-2023-44310 9.0 Injection de code indirecte à distance (XSS) 17/10/2023 Pas d'information CERTFR-2023-AVI-0892 https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-44310
Liferay DXP, Portal CVE-2023-44309 9.0 Injection de code indirecte à distance (XSS) 17/10/2023 Pas d'information CERTFR-2023-AVI-0892 https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-44309
Liferay DXP, Portal CVE-2023-42629 9.0 Injection de code indirecte à distance (XSS) 17/10/2023 Pas d'information CERTFR-2023-AVI-0892 https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-42629
F5 BIG-IP CVE-2023-46747 9.8 Exécution de code arbitraire à distance 26/10/2023 Preuve de concept publique CERTFR-2023-AVI-0897 https://my.f5.com/manage/s/article/K000137353
VMware vCenter, VCF CVE-2023-34048 9.8 Exécution de code arbitraire à distance 25/10/2023 Pas d'information CERTFR-2023-AVI-0885 https://www.vmware.com/security/advisories/VMSA-2023-0023.html
 

Alertes CERT-FR

CVE-2023-20198, CVE-2023-20273 : Multiples vulnérabilités affectant Cisco IOS XE

Le 16 et le 22 octobre 2023, Cisco a publié et mis à jour son avis de sécurité concernant les vulnérabilités CVE-2023-20198 et CVE-2023-20273 affectant l'interface Web de gestion d'IOS XE (webui). Ces deux vulnérabilités sont activement exploitées. L'éditeur a mis à jour son avis afin d'indiquer la mise à disposition de correctifs de sécurité dans les versions 17.9.4a, 17.6.6a et 16.12.10a d'IOS XE.

Liens :

CVE-2023-4966 : Vulnérabilité affectant Citrix NetScaler ADC et NetScaler Gateway

Le 10 octobre 2023, Citrix a publié un avis de sécurité concernant la vulnérabilité CVE-2023-4966 affectant les produits NetScaler ADC et NetScaler Gateway. L'éditeur lui a donné un score CVSSv3 de 9.4 et a indiqué qu'elle permet une atteinte à la confidentialité des données. L'exploitation active de cette vulnérabilité a été confirmée par l'éditeur le 17 octobre 2023. Le 24 octobre 2023, des chercheurs ont publié des détails techniques sur la vulnérabilité. Des codes d'exploitation sont désormais disponibles sur Internet.

Liens :

Autres vulnérabilités

CVE-2023-46604 : Vulnérabilité affectant Apache ActiveMQ

Le 27 octobre 2023, Apache Software Foundation a publié un avis de sécurité afin d'annoncer la correction d'une vulnérabilité permettant, in fine, d'exécuter du code arbitraire sur le serveur (broker) en manipulant des types de classes sérialisées dans le protocole OpenWire.

Apache a attribué un score CVSSv3 de 10 pour cette vulnérabilité CVE-2023-46604.

Liens :

CVE-2023-22074 : Vulnérabilité affectant Oracle Database Server

Le 18 octobre 2023, Oracle a corrigé une vulnérabilité permettant à un attaquant authentifié et avec de haut privilège de compromettre le composant Oracle Database Sharding. Par ce biais, un attaquant peut réaliser un déni de service partiel du composant.

Des codes d'exploitation sont disponibles sur Internet pour cette vulnérabilité.

Liens :

CVE-2023-32707 : Vulnérabilité affectant Splunk

Le 1 juin 2023, l'éditeur a corrigé une vulnérabilité dans Splunk permettant à un attaquant authentifié de réaliser une élévation de privilèges afin de disposer de droits administrateur.

Des codes d'exploitation sont désormais disponibles sur Internet.

Liens :

 

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 23 octobre 2023 au 29 octobre 2023, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :