Bulletin d’actualité CERTFR-2023-ACT-050

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 46

Tableau récapitulatif :

Vulnérabilités critiques du 13/11/23 au 19/11/23

Editeur	Produit	Identifiant CVE	Score CVSSv3	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Siemens	COMOS	CVE-2023-43505	9.6	Contournement de la politique de sécurité	14/11/2023	Pas d'information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-137900.html
Siemens	COMOS	CVE-2023-46601	9.6	Exécution de code arbitraire à distance	14/11/2023	Pas d'information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-137900.html
Siemens	COMOS	CVE-2023-43504	9.6	Exécution de code arbitraire à distance	14/11/2023	Pas d'information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-137900.html
Siemens	COMOS	CVE-2020-25020	9.8	Exécution de code arbitraire à distance	14/11/2023	Pas d'information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-137900.html
Siemens	Desigo CC	CVE-2021-20093	9.1	Atteinte à la confidentialité des données	14/11/2023	Pas d'information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-625850.html
Siemens	SIMATIC MV500	CVE-2022-23218	9.8	Exécution de code arbitraire à distance, Déni de service à distance	14/11/2023	Pas d'information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-099606.html
Siemens	SIMATIC MV500	CVE-2022-23219	9.8	Exécution de code arbitraire à distance, Déni de service à distance	14/11/2023	Pas d'information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-099606.html
Siemens	SIPROTEC 4 7SJ66	CVE-2019-12255	9.1	Non spécifié par l'éditeur	14/11/2023	Pas d'information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-617233.html
Siemens	SIPROTEC 4 7SJ66	CVE-2019-12256	9.1	Non spécifié par l'éditeur	14/11/2023	Pas d'information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-617233.html
Siemens	SIPROTEC 4 7SJ66	CVE-2019-12260	9.1	Non spécifié par l'éditeur	14/11/2023	Pas d'information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-617233.html
Siemens	SIPROTEC 4 7SJ66	CVE-2019-12262	9.1	Contournement de la politique de sécurité	14/11/2023	Pas d'information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-617233.html
Siemens	SCALANCE	CVE-2023-44373	9.1	Exécution de code arbitraire à distance	14/11/2023	Pas d'information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-699386.html
VMware	VMware Cloud Director Appliance	CVE-2023-34060	9.8	Contournement de la politique de sécurité	14/11/2023	Pas d'information	CERTFR-2023-AVI-0936	https://www.vmware.com/security/advisories/VMSA-2023-0026.html
Adobe	ColdFusion 2023, ColdFusion 2021	CVE-2023-44350	9.1	Exécution de code arbitraire à distance	14/11/2023	Pas d'information	CERTFR-2023-AVI-0939	https://helpx.adobe.com/security/products/coldfusion/apsb23-52.html
Adobe	ColdFusion 2023, ColdFusion 2021	CVE-2023-44351	9.8	Exécution de code arbitraire à distance	14/11/2023	Pas d'information	CERTFR-2023-AVI-0939	https://helpx.adobe.com/security/products/coldfusion/apsb23-52.html
Aruba	ArubaOS, InstantOS	CVE-2023-45614	9.8	Exécution de code arbitraire à distance	14/11/2023	Pas d'information	CERTFR-2023-AVI-0941	https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-017.txt
Aruba	ArubaOS, InstantOS	CVE-2023-45615	9.8	Exécution de code arbitraire à distance	14/11/2023	Pas d'information	CERTFR-2023-AVI-0941	https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-017.txt
Aruba	ArubaOS, InstantOS	CVE-2023-45616	9.8	Exécution de code arbitraire à distance	14/11/2023	Pas d'information	CERTFR-2023-AVI-0941	https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-017.txt
SAP	Veuillez-vous référer à l'avis éditeur	CVE-2023-40309	9.8	Élévation de privilèges	14/11/2023	Pas d'information	CERTFR-2023-AVI-0942	https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
SAP	SAP Business One	CVE-2023-31403	9.6	Contournement de la politique de sécurité	14/11/2023	Pas d'information	CERTFR-2023-AVI-0942	https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
Microsoft	Windows SmartScreen	CVE-2023-36025	8.8	Contournement de la politique de sécurité	14/11/2023	Exploitée	CERTFR-2023-AVI-0944	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36025
Microsoft	Windows Cloud Files Mini Filter Driver	CVE-2023-36036	7.8	Élévation de privilèges	14/11/2023	Exploitée	CERTFR-2023-AVI-0944	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36036
Microsoft	Windows HMAC Key Derivation	CVE-2023-36400	8.8	Élévation de privilèges	14/11/2023	Pas d'information	CERTFR-2023-AVI-0944	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36400
Microsoft	Windows PGM	CVE-2023-36397	9.8	Exécution de code arbitraire à distance	14/11/2023	Pas d'information	CERTFR-2023-AVI-0944	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36397
Microsoft	Windows (Desktop Windows Manager) DWM Core Library	CVE-2023-36033	7.8	Élévation de privilèges	14/11/2023	Exploitée	CERTFR-2023-AVI-0944	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36033
Microsoft	Open Management Infrastructure	CVE-2023-36043	6.5	Atteinte à la confidentialité des données	14/11/2023	Pas d'information	CERTFR-2023-AVI-0947	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36043
Microsoft	Azure CLI REST Command	CVE-2023-36052	8.6	Atteinte à la confidentialité des données	14/11/2023	Pas d'information	CERTFR-2023-AVI-0947	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36052
Progress	WS_FTP	CVE-2023-42659	9.1	Contournement de la politique de sécurité	07/11/2023	Pas d'information	CERTFR-2023-AVI-0952	https://community.progress.com/s/article/WS-FTP-Server-Service-Pack-November-2023
Elasticsearch	Kibana	CVE-2023-46671	9.0	Atteinte à la confidentialité des données	14/11/2023	Pas d'information	CERTFR-2023-AVI-0937	https://discuss.elastic.co/t/8-11-1-7-17-15-security-update-esa-2023-25/347149

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 13 novembre 2023 au 19 novembre 2023, le CERT-FR a émis les publications suivantes :

CERTFR-2023-AVI-0929 : Vulnérabilité dans SolarWinds Network Configuration Manager
CERTFR-2023-AVI-0930 : Multiples vulnérabilités dans Symfony
CERTFR-2023-AVI-0931 : Multiples vulnérabilités dans les produits Qnap
CERTFR-2023-AVI-0932 : Vulnérabilité dans Microsoft Edge
CERTFR-2023-AVI-0933 : Multiples vulnérabilités dans les produits Schneider
CERTFR-2023-AVI-0934 : Multiples vulnérabilités dans Typo3
CERTFR-2023-AVI-0935 : Multiples vulnérabilités dans les produits Siemens
CERTFR-2023-AVI-0936 : Vulnérabilité dans VMware Cloud Director Appliance
CERTFR-2023-AVI-0937 : Multiples vulnérabilités dans Kibana et Logstash
CERTFR-2023-AVI-0938 : Multiples vulnérabilités dans Xen
CERTFR-2023-AVI-0939 : Multiples vulnérabilités dans les produits Adobe
CERTFR-2023-AVI-0940 : Multiples vulnérabilités dans Google Chrome
CERTFR-2023-AVI-0941 : Multiples vulnérabilités dans les produits Aruba
CERTFR-2023-AVI-0942 : Multiples vulnérabilités dans les produits SAP
CERTFR-2023-AVI-0943 : Multiples vulnérabilités dans Microsoft Office
CERTFR-2023-AVI-0944 : Multiples vulnérabilités dans Microsoft Windows
CERTFR-2023-AVI-0945 : Multiples vulnérabilités dans Microsoft .Net
CERTFR-2023-AVI-0946 : Vulnérabilité dans Microsoft Azure
CERTFR-2023-AVI-0947 : Multiples vulnérabilités dans les produits Microsoft
CERTFR-2023-AVI-0948 : Multiples vulnérabilités dans Citrix Hypervisor
CERTFR-2023-AVI-0949 : Vulnérabilité dans Wireshark NetScreen file parser
CERTFR-2023-AVI-0950 : Multiples vulnérabilités dans Juniper Secure Analytics
CERTFR-2023-AVI-0951 : Multiples vulnérabilités dans Android et Pixel
CERTFR-2023-AVI-0952 : Vulnérabilité dans Progress WS_FTP Server
CERTFR-2023-AVI-0953 : Multiples vulnérabilités dans les produits Intel
CERTFR-2023-AVI-0954 : Multiples vulnérabilités dans Nessus et Nessus Agent
CERTFR-2023-AVI-0955 : Vulnérabilité dans les produits Cisco
CERTFR-2023-AVI-0956 : Multiples vulnérabilités dans les produits Splunk
CERTFR-2023-AVI-0957 : Multiples vulnérabilités dans le noyau Linux de RedHat
CERTFR-2023-AVI-0958 : Multiples vulnérabilités dans IBM
CERTFR-2023-AVI-0959 : Multiples vulnérabilités dans Microsoft Edge
CERTFR-2023-AVI-0960 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu
CERTFR-2023-AVI-0961 : Multiples vulnérabilités dans le noyau Linux de SUSE

Dans la période du 13 novembre 2023 au 19 novembre 2023, le CERT-FR a mis à jour les publications suivantes :

CERTFR-2023-AVI-0786 : Vulnérabilité dans Roundcube Webmail

Référence	CERTFR-2023-ACT-050
Titre	Bulletin d’actualité CERTFR-2023-ACT-050
Date de la première version	20 novembre 2023
Date de la dernière version	20 novembre 2023
Source(s)
Pièce(s) jointe(s)	Aucune(s)

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTFR-2023-ACT-050

Gestion du document

Vulnérabilités significatives de la semaine 46

Tableau récapitulatif :

Rappel des publications émises

Gestion détaillée du document