Le 07 mars 2023, Fortinet a publié un avis de sécurité détaillant l’existence d’une vulnérabilité de type traversée de chemin (path traversal) permettant à un attaquant authentifié avec un compte à privilèges de lire et d'écrire des fichiers arbitrairement au travers de l'interface en ligne de...
Alertes de sécurité
CERTFR-2023-ALE-002
Publié le 15 mars 2023
Clôturée le 26 juillet 2023
[mise à jour du 11 mai 2023] Possibilité de contournement du correctif proposé par l'éditeur par le biais de la CVE-2023-29324 [mise à jour du 20 avril 2023] clarification de la recommandation pour le filtrage du flux SMB [mise à jour du 29 mars 2023] complément d'information et...
CERTFR-2022-ALE-011
Publié le 14 octobre 2022
Clôturée le 26 juillet 2023
Le 07 octobre 2022, des informations ont circulé concernant l’existence d’une vulnérabilité critique dans les produits Fortinet. Le 11 octobre 2022, l’éditeur a publié un avis de sécurité détaillant l’existence d’une vulnérabilité permettant à un attaquant non authentifié de pouvoir réaliser des...
CERTFR-2023-ALE-003
Publié le 31 mars 2023
Clôturée le 12 avril 2023
Le 30 mars 2023, l'éditeur a publié un communiqué concernant la compromission de leur application de bureau 3CX (3CX Desktop App). Cette application de conférence vocale et vidéo, dans certaines versions, est infectée par un cheval de Troie qui rend possible le déploiement d'une charge utile à...
CERTFR-2022-ALE-013
Publié le 13 décembre 2022
Clôturée le 14 mars 2023
Le 13 décembre 2022, Citrix a indiqué avoir connaissance d'une vulnérabilité de type jour-zéro (zero-day) affectant les produits Citrix ADC et Citrix Gateway. Cette vulnérabilité, immatriculée CVE-2022-27518, permet à un attaquant à distance et non authentifié d'exécuter du code arbitraire sur...
CERTFR-2023-ALE-015
Publié le 03 février 2023
Clôturée le 14 mars 2023
[Mise à jour du 10 février 2023] Une nouvelle vague d’attaque démarrée le 8 février change la méthode de chiffrement permettant de chiffrer un plus grand volume de données dans les fichiers de grande taille rendant la restauration des données plus difficile voire impossible. [Mise à jour du 05...
CERTFR-2022-ALE-007
Publié le 16 septembre 2022
Clôturée le 14 mars 2023
[MàJ du 31 octobre 2022] Une preuve de concept est publiquement disponible. [Publication initiale] Dans le cadre de son Patch Tuesday, en date du 13 septembre 2022, Microsoft a indiqué l'existence de multiples vulnérabilités au sein de plusieurs versions de Windows. Trois d'entre elles...
CERTFR-2022-ALE-008
Publié le 30 septembre 2022
Clôturée le 14 mars 2023
[Mise à jour du 09 novembre 2022] L'éditeur a publié un correctif (cf. section solution). En date du 29 septembre 2022, Microsoft a indiqué l'existence de deux vulnérabilités, de type zéro-jour, au sein de Windows Exchange 2013, 2016 et 2019. Ces vulnérabilités sont les suivantes : -...
CERTFR-2022-ALE-010
Publié le 07 octobre 2022
Clôturée le 14 mars 2023
Le 14 septembre 2022, l'éditeur de GLPI (Gestionnaire Libre de Parc Informatique) a déclaré plusieurs vulnérabilités sur le produit, dont deux critiques. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité. La...
CERTFR-2022-ALE-009
Publié le 07 octobre 2022
Clôturée le 14 mars 2023
[MaJ 12 octobre 2022] Un correctif est désormais disponible (cf. section Documentation). [Publication initiale] Le 15 septembre 2022, l'éditeur Zimbra a publié un avis de sécurité mentionnant une vulnérabilité dans l'implémentation de cpio par son moteur d'antivirus (Amavis). L'outil...