Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 34

Tableau récapitulatif :

Vulnérabilités critiques du 19/08/24 au 25/08/24
Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Google Chrome CVE-2024-7971 Non spécifié par l'éditeur 22/08/2024ExploitéeCERTFR-2024-AVI-0706https://chromereleases.googleblog.com/2024/08/stable-channel-update-for-desktop_21.html
Microsoft Edge CVE-2024-7971 Non spécifié par l'éditeur 22/08/2024ExploitéeCERTFR-2024-AVI-0711https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-7971
SolarWinds Web Help Desk CVE-2024-28987 9.1 Contournement de la politique de sécurité 23/08/2024Pas d'informationCERTFR-2024-AVI-0714https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28987
IBM QRadar SIEM (libndp) CVE-2024-5564 9.8 Exécution de code arbitraire à distance 22/08/2024Pas d'informationCERTFR-2024-AVI-0720https://www.ibm.com/support/pages/node/7166204
SonicWall Pare-feu Gen 5, 6 et 7 CVE-2024-40766 9.3 Contournement de la politique de sécurité 22/08/2024Pas d'informationCERTFR-2024-AVI-0712https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0015

Vulnérabilité dans SPIP

Le 20 août 2024, l'éditeur SPIP a publié un avis de sécurité annonçant la correction d'une vulnérabilité critique. Cette vulnérabilité, sans identifiant CVE, permet l'exécution de code arbitraire à distance sans authentification. Le CERT-FR n'a pas connaissance de codes d'exploitation publics mais l'exploitation de la vulnérabilité semble triviale.

La vulnérabilité est corrigée dans les versions 4.3.2, 4.2.16 et 4.1.18. De plus, l'éditeur met également à disposition un écran de sécurité en version 1.6.3 en tant que mesure de contournement.

Liens :

Autres vulnérabilités

Vulnérabilités dans Github Enterprise Server

Le 20 août 2024, Github a publié des notes de versions pour le logiciel Github Enterprise Server. Ces notes indiquent la correction de trois vulnérabilités. La plus grave (CVE-2024-6800) permet le contournement de la politique de sécurité et l'accès à un compte avec des privilèges administrateur sur la plateforme.

Lien :

CVE-2024-23897 : Vulnérabilité exploitée dans Jenkins

Le 24 janvier 2024, l'éditeur Jenkins a publié un bulletin de sécurité pour indiquer la disponibilité d'une mise à jour corrigeant la vulnérabilité CVE-2024-23897. Cette vulnérabilité permet à des utilisateurs non authentifiés de lire des fichiers arbitraires du système. L'exploitation de cette vulnérabilité peut conduire à l'exécution de code arbitraire à distance. Des exploits sont disponibles depuis janvier 2024.

La CISA a annoncé avoir connaisance de l'exploitation de cette vulnérabilité.

Liens :

Compromission d'un greffon Wordpress populaire

Le 21 août 2024, l'éditeur LiteSpeed a annoncé la disponibilité d'une version corrective du greffon LiteSpeed Cache. Cette version corrige la vulnérabilité CVE-2024-28000 qui permet, à un utilisateur non authentifié, d'effectuer une élévation de privilèges et d'obtenir les privilèges d'un administrateur.

Lien :

 

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 19 août 2024 au 25 août 2024, le CERT-FR a émis les publications suivantes :


Dans la période du 19 août 2024 au 25 août 2024, le CERT-FR a mis à jour les publications suivantes :