Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 20
Tableau récapitulatif :
Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
---|---|---|---|---|---|---|---|---|
Siemens | SIMATIC CN 4100 | CVE-2024-32740 | 9.8 | Exécution de code arbitraire à distance | 14/05/2024 | Pas d'information | CERTFR-2024-AVI-0393 | https://cert-portal.siemens.com/productcert/html/ssa-273900.html |
Siemens | SIMATIC CN 4100 | CVE-2024-32741 | 10 | Exécution de code arbitraire | 14/05/2024 | Pas d'information | CERTFR-2024-AVI-0393 | https://cert-portal.siemens.com/productcert/html/ssa-273900.html |
Chrome et navigateurs basés sur chromium | CVE-2024-4761 | Non spécifié par l'éditeur | 14/05/2024 | Exploitée | CERTFR-2024-AVI-0398 | https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_13.html | ||
Chrome et navigateurs basés sur chromium | CVE-2024-4947 | Non spécifié par l'éditeur | 15/05/2024 | Exploitée | CERTFR-2024-AVI-0410 | https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_15.html | ||
Aruba Networks | Point d'accès avec ArubaOS et InstantOS | CVE-2024-31473 | 9.8 | Exécution de code arbitraire à distance | 15/05/2024 | Pas d'information | CERTFR-2024-AVI-0408 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-006.txt |
Aruba Networks | Point d'accès avec ArubaOS et InstantOS | CVE-2024-31472 | 9.8 | Exécution de code arbitraire à distance | 15/05/2024 | Pas d'information | CERTFR-2024-AVI-0408 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-006.txt |
Aruba Networks | Point d'accès avec ArubaOS et InstantOS | CVE-2024-31471 | 9.8 | Exécution de code arbitraire à distance | 15/05/2024 | Pas d'information | CERTFR-2024-AVI-0408 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-006.txt |
Aruba Networks | Point d'accès avec ArubaOS et InstantOS | CVE-2024-31470 | 9.8 | Exécution de code arbitraire à distance | 15/05/2024 | Pas d'information | CERTFR-2024-AVI-0408 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-006.txt |
Aruba Networks | Point d'accès avec ArubaOS et InstantOS | CVE-2024-31469 | 9.8 | Exécution de code arbitraire à distance | 15/05/2024 | Pas d'information | CERTFR-2024-AVI-0408 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-006.txt |
Aruba Networks | Point d'accès avec ArubaOS et InstantOS | CVE-2024-31468 | 9.8 | Exécution de code arbitraire à distance | 15/05/2024 | Pas d'information | CERTFR-2024-AVI-0408 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-006.txt |
Aruba Networks | Point d'accès avec ArubaOS et InstantOS | CVE-2024-31467 | 9.8 | Exécution de code arbitraire à distance | 15/05/2024 | Pas d'information | CERTFR-2024-AVI-0408 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-006.txt |
Aruba Networks | Point d'accès avec ArubaOS et InstantOS | CVE-2024-31466 | 9.8 | Exécution de code arbitraire à distance | 15/05/2024 | Pas d'information | CERTFR-2024-AVI-0408 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-006.txt |
VmWare | VMware Workstation, VMware Fusion | CVE-2024-22267 | 9.3 | Exécution de code arbitraire à distance | 15/05/2024 | Pas d'information | CERTFR-2024-AVI-0405 | https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24280 |
Microsoft | Windows | CVE-2024-30040 | 8.8 | Contournement de la politique de sécurité | 14/05/2024 | Exploitée | CERTFR-2024-AVI-0400 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30040 |
Microsoft | Windows | CVE-2024-30051 | 7.8 | Élévation de privilèges | 14/05/2024 | Exploitée | CERTFR-2024-AVI-0400 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30051 |
Apple | iOS 17.5 et iPadOS | CVE-2024-27804 | Élévation de privilèges | 14/05/2024 | Preuve de concept publique | CERTFR-2024-AVI-0392 | https://support.apple.com/en-us/HT214101 | |
SAP | SAP NetWeaver Application Server ABAP et ABAP Platform | CVE-2024-33006 | 9.6 | Exécution de code arbitraire à distance | 14/05/2024 | Pas d'information | CERTFR-2024-AVI-0395 | https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2024.html |
SAP | SAP CX Commerce | CVE-2019-17495 | 9.8 | Exécution de code arbitraire à distance | 14/05/2024 | Pas d'information | CERTFR-2024-AVI-0395 | https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2024.html |