Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 45

Tableau récapitulatif :

Vulnérabilités critiques du 07/11/22 au 13/11/22
Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
SAP SAPUI5 et SAPUI5 CLIENT RUNTIME (SQLite) CVE-2022-35737 9.8 Exécution de code arbitraire à distance 08/11/2022 Preuve de concept publiquement disponible CERTFR-2022-AVI-1020 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1&todaysdate=2022-11-09
SAP SAPUI5 et SAPUI5 CLIENT RUNTIME (SQLite) CVE-2021-20223 9.8 Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1020 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1&todaysdate=2022-11-09
SAP BusinessObjects Business Intelligence Platform CVE-2022-41203 9.9 Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1020 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1&todaysdate=2022-11-09
Python Python 3 (module _sha3) CVE-2022-37454 9.8 Exécution de code arbitraire à distance 07/11/2022 Pas d’information CERTFR-2022-AVI-996 https://python-security.readthedocs.io/vuln/sha3-buffer-overflow.html#timeline
IBM IBM Tivoli Monitoring (libexpat) CVE-2022-40674 9.8 Exécution de code arbitraire à distance 07/11/2022 Pas d’information CERTFR-2022-AVI-997/ https://www.ibm.com/support/pages/node/6837645
Siemens POWER METER SICAM CVE-2022-43439 9.9 Déni de service à distance, Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1001 https://cert-portal.siemens.com/productcert/html/ssa-570294.html
Siemens POWER METER SICAM CVE-2022-43545 9.9 Déni de service à distance, Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1001 https://cert-portal.siemens.com/productcert/html/ssa-570294.html
Siemens POWER METER SICAM CVE-2022-43546 9.9 Déni de service à distance, Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1001 https://cert-portal.siemens.com/productcert/html/ssa-570294.html
Siemens SIMATIC, SINUMERIK CVE-2022-38465 9.3 Atteinte à la confidentialité des données 08/11/2022 Pas d’information CERTFR-2022-AVI-1001 https://cert-portal.siemens.com/productcert/html/ssa-568428.html
Siemens SCALANCE (PAPI UDP) CVE-2022-37885 9.8 Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1001 https://cert-portal.siemens.com/productcert/html/ssa-506569.html
Siemens SCALANCE (PAPI UDP) CVE-2022-37886 9.8 Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1001 https://cert-portal.siemens.com/productcert/html/ssa-506569.html
Siemens SCALANCE (PAPI UDP) CVE-2022-37887 9.8 Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1001 https://cert-portal.siemens.com/productcert/html/ssa-506569.html
Siemens SCALANCE (PAPI UDP) CVE-2022-37888 9.8 Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1001 https://cert-portal.siemens.com/productcert/html/ssa-506569.html
Siemens SCALANCE (PAPI UDP) CVE-2022-37889 9.8 Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1001 https://cert-portal.siemens.com/productcert/html/ssa-506569.html
Siemens SCALANCE (web management interface) CVE-2022-37890 9.8 Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1001 https://cert-portal.siemens.com/productcert/html/ssa-506569.html
Siemens SCALANCE (web management interface) CVE-2022-37891 9.8 Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1001 https://cert-portal.siemens.com/productcert/html/ssa-506569.html
Veeam Veeam Backup pour Google Cloud CVE-2022-43549 10 Contournement de la politique de sécurité 08/11/2022 Pas d’information CERTFR-2022-AVI-1003 https://www.veeam.com/kb4374
Grafana Grafana CVE-2022-39328 9.8 Élévation de privilèges 09/11/2022 Pas d’information CERTFR-2022-AVI-1006 https://github.com/grafana/grafana/security/advisories/GHSA-vqc4-mpj8-jxch
Vmware VMware Workspace ONE Assist (Assist) CVE-2022-31686 9.8 Contournement de la politique de sécurité 09/11/2022 Pas d’information CERTFR-2022-AVI-1008 https://www.vmware.com/security/advisories/VMSA-2022-0028.html
Vmware VMware Workspace ONE Assist (Assist) CVE-2022-31687 9.8 Contournement de la politique de sécurité 09/11/2022 Pas d’information CERTFR-2022-AVI-1008 https://www.vmware.com/security/advisories/VMSA-2022-0028.html
Vmware VMware Workspace ONE Assist (Assist) CVE-2022-31685 9.8 Contournement de la politique de sécurité 09/11/2022 Pas d’information CERTFR-2022-AVI-1008 https://www.vmware.com/security/advisories/VMSA-2022-0028.html
Microsoft Exchange CVE-2022-41082 8.8 Exécution de code arbitraire à distance 08/11/2022 Exploitée CERTFR-2022-AVI-876 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082
Microsoft Exchange CVE-2022-41040 8.8 Exécution de code arbitraire à distance 08/11/2022 Exploitée CERTFR-2022-AVI-876 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040
Microsoft Windows Print Spooler CVE-2022-41073 7.8 Élévation de privilèges 08/11/2022 Exploitée CERTFR-2022-AVI-1012 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41073
Microsoft Windows CNG Key CVE-2022-41125 7.8 Élévation de privilèges 08/11/2022 Exploitée CERTFR-2022-AVI-1012 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41125
Microsoft Windows Scripting Languages (IE) CVE-2022-41128 8.8 Exécution de code arbitraire à distance 08/11/2022 Exploitée CERTFR-2022-AVI-1012 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41128
Microsoft Windows Mark of the Web (MOTW) CVE-2022-41091 5.4 Contournement de la politique de sécurité 08/11/2022 Exploitée CERTFR-2022-AVI-1012 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41091

Rappel des avis émis

Dans la période du 07 au 13 novembre 2022, le CERT-FR a émis les publications suivantes :