Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 44

Tableau récapitulatif :

Vulnérabilités critiques du 28/10/24 au 03/11/24
Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Google Google Chrome CVE-2024-10488 9.8 Non spécifié par l'éditeur 29/10/2024 Pas d'information CERTFR-2024-AVI-0931 https://chromereleases.googleblog.com/2024/10/stable-channel-update-for-desktop_29.html
Google Google Chrome CVE-2024-10487 9.8 Non spécifié par l'éditeur 29/10/2024 Pas d'information CERTFR-2024-AVI-0931 https://chromereleases.googleblog.com/2024/10/stable-channel-update-for-desktop_29.html
Apple iOS CVE-2024-40867 9.6 Contournement de la politique de sécurité 30/10/2024 Pas d'information CERTFR-2024-AVI-0929 https://support.apple.com/en-us/121563
Apple MacOS CVE-2024-44256 9.3 Contournement de la politique de sécurité 29/10/2024 Pas d'information CERTFR-2024-AVI-0929 https://support.apple.com/en-us/121564
QNAP Hybrid Backup Sync CVE-2024-50388 N/A Exécution de code arbitraire à distance 30/10/2024 Pas d'information CERTFR-2024-AVI-0933 https://www.qnap.com/go/security-advisory/qsa-24-41
QNAP SMB Service CVE-2024-50387 N/A Non spécifié par l'éditeur 30/10/2024 Pas d'information CERTFR-2024-AVI-0933 https://www.qnap.com/go/security-advisory/qsa-24-42
Synology BeePhotos CVE-2024-10443 N/A Exécution de code arbitraire à distance 25/10/2024 Pas d'information CERTFR-2024-AVI-0927 https://www.synology.com/fr-fr/security/advisory/Synology_SA_24_18
Synology Synology Photos CVE-2024-10443 N/A Exécution de code arbitraire à distance 25/10/2024 Pas d'information CERTFR-2024-AVI-0927 https://www.synology.com/fr-fr/security/advisory/Synology_SA_24_19

Autres vulnérabilités

CVE-2024-51567, CVE-2024-51568 : Multiples vulnérabilités dans CyberPanel

CyberPanel est un outil de gestion pour l'hébergement Web. Le 29 octobre, les vulnérabilités CVE-2024-51567 et CVE-2024-51568 ont été publiées. Ces vulnérabilités permettent de contourner l'authentification et d'exécuter des commandes arbitraires à distance. Des preuves de concept sont disponibles. Plusieurs sources indiquent que ces vulnérabilités seraient activement exploitées.

Liens :

CVE-2024-38094 : Vulnérabilité dans Microsoft SharePoint

Le 9 juillet 2024, Microsoft a publié un avis de sécurité concernant une vulnérabilité affectant SharePoint. Cette vulnérabilité d'identifiant CVE-2024-38094 permet une exécution de code arbitraire à distance. Elle est activement exploitée selon la CISA.

Liens :

Rappel des publications émises

Dans la période du 28 octobre 2024 au 03 novembre 2024, le CERT-FR a émis les publications suivantes :


Dans la période du 28 octobre 2024 au 03 novembre 2024, le CERT-FR a mis à jour les publications suivantes :