Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 4

Tableau récapitulatif :

Vulnérabilités critiques du 21/01/24 au 28/01/24

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Cisco Unified Communications CVE-2024-20253 9.9 Exécution de code arbitraire à distance 24/01/2024 Pas d'information CERTFR-2024-AVI-0068 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-rce-bWNzQcUm
Apple Webkit CVE-2024-23222 8.8 Exécution de code arbitraire à distance 23/01/2024 Exploitée CERTFR-2024-AVI-0062 https://support.apple.com/en-us/HT214056
Gitlab Gitlab CE/EE CVE-2024-0402 9.9 Exécution de code arbitraire à distance 26/01/2024 Pas d'information CERTFR-2024-AVI-0069 https://about.gitlab.com/releases/2024/01/25/critical-security-release-gitlab-16-8-1-released/

Vulnérabilités dans IBM Spectrum Protect Plus

Le 22 janvier 2024, IBM a publié un bulletin de sécurité concernant IBM Spectrum Protect Plus. Celui-ci contient notamment des informations sur trois vulnérabilités critiques du composant Golang (CVE-2023-29402, CVE-2023-29404 et CVE-2023-29405) qui peuvent permettre une exécution de code arbitraire à distance.

Liens :

Autres vulnérabilités

Vulnérabilité GoAnywhere MFT

CVE-2024-0204: Vulnérabilité dans GoAnywhere MFT

Le 22 janvier 2024, l'éditeur Fortra a publié un bulletin de sécurité présentant la vulnérabilité CVE-2024-0204. Il s'agit d'un contournement de la politique de sécurité permettant la création d'un compte administrateur sur la plateforme GoAnywhere MFT. Le CERT-FR a connaissance de codes d'exploitation publics.

Liens :

CVE-2024-23897 : Vulnérabilité dans Jenkins

Le 24 janvier 2024, l'éditeur Jenkins a publié un bulletin de sécurité pour indiquer la disponibilité d'une mise à jour corrigeant la vulnérabilité CVE-2024-23897. Cette vulnérabilité permet à des utilisateurs non authentifiés de lire des fichiers arbitraires du système. L'exploitation de cette vulnérabilité peut conduire à l'exécution de code arbitraire à distance. Les déploiements de Jenkins avec des versions antérieures à 2.442 ou version LTS 2.426.3 avec le mode d'authentification "legacy", la fonctionnalité d'enregistrement de compte ou la configuration "Allow anonymous read access" sont vulnérables. Le CERT-FR a connaissance de plusieurs codes d'exploitation publics.

Le bulletin de sécurité présente également d'autres vulnérabilités de gravité moins importante.

Liens :

Multiples vulnérabilités dans les produits Zyxel

Le CERT-FR a connaissance de codes d'exploitations publics permettant à un attaquant non authentifié d'exécuter du code arbitraire à distance dans les produits Zyxel VPN. Les équipements VPN50, VPN100, VPN300, VPN500, et VPN1000 avec des versions de micrologiciel comprises entre 5.21 et 5.36 sont vulnérables.

Liens :


La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 22 janvier 2024 au 28 janvier 2024, le CERT-FR a émis les publications suivantes :


Dans la période du 22 janvier 2024 au 28 janvier 2024, le CERT-FR a mis à jour les publications suivantes :