Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 44
Tableau récapitulatif :
Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
---|---|---|---|---|---|---|---|---|
Google Chrome | CVE-2024-10488 | 9.8 | Non spécifié par l'éditeur | 29/10/2024 | Pas d'information | CERTFR-2024-AVI-0931 | https://chromereleases.googleblog.com/2024/10/stable-channel-update-for-desktop_29.html | |
Google Chrome | CVE-2024-10487 | 9.8 | Non spécifié par l'éditeur | 29/10/2024 | Pas d'information | CERTFR-2024-AVI-0931 | https://chromereleases.googleblog.com/2024/10/stable-channel-update-for-desktop_29.html | |
Apple | iOS | CVE-2024-40867 | 9.6 | Contournement de la politique de sécurité | 30/10/2024 | Pas d'information | CERTFR-2024-AVI-0929 | https://support.apple.com/en-us/121563 |
Apple | MacOS | CVE-2024-44256 | 9.3 | Contournement de la politique de sécurité | 29/10/2024 | Pas d'information | CERTFR-2024-AVI-0929 | https://support.apple.com/en-us/121564 |
QNAP | Hybrid Backup Sync | CVE-2024-50388 | N/A | Exécution de code arbitraire à distance | 30/10/2024 | Pas d'information | CERTFR-2024-AVI-0933 | https://www.qnap.com/go/security-advisory/qsa-24-41 |
QNAP | SMB Service | CVE-2024-50387 | N/A | Non spécifié par l'éditeur | 30/10/2024 | Pas d'information | CERTFR-2024-AVI-0933 | https://www.qnap.com/go/security-advisory/qsa-24-42 |
Synology | BeePhotos | CVE-2024-10443 | N/A | Exécution de code arbitraire à distance | 25/10/2024 | Pas d'information | CERTFR-2024-AVI-0927 | https://www.synology.com/fr-fr/security/advisory/Synology_SA_24_18 |
Synology | Synology Photos | CVE-2024-10443 | N/A | Exécution de code arbitraire à distance | 25/10/2024 | Pas d'information | CERTFR-2024-AVI-0927 | https://www.synology.com/fr-fr/security/advisory/Synology_SA_24_19 |
Autres vulnérabilités
CVE-2024-51567, CVE-2024-51568 : Multiples vulnérabilités dans CyberPanel
CyberPanel est un outil de gestion pour l'hébergement Web. Le 29 octobre, les vulnérabilités CVE-2024-51567 et CVE-2024-51568 ont été publiées. Ces vulnérabilités permettent de contourner l'authentification et d'exécuter des commandes arbitraires à distance. Des preuves de concept sont disponibles. Plusieurs sources indiquent que ces vulnérabilités seraient activement exploitées.