Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 45
Tableau récapitulatif :
Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
---|---|---|---|---|---|---|---|---|
SAP | SAPUI5 et SAPUI5 CLIENT RUNTIME (SQLite) | CVE-2022-35737 | 9.8 | Exécution de code arbitraire à distance | 08/11/2022 | Preuve de concept publiquement disponible | CERTFR-2022-AVI-1020 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1&todaysdate=2022-11-09 |
SAP | SAPUI5 et SAPUI5 CLIENT RUNTIME (SQLite) | CVE-2021-20223 | 9.8 | Exécution de code arbitraire à distance | 08/11/2022 | Pas d’information | CERTFR-2022-AVI-1020 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1&todaysdate=2022-11-09 |
SAP | BusinessObjects Business Intelligence Platform | CVE-2022-41203 | 9.9 | Exécution de code arbitraire à distance | 08/11/2022 | Pas d’information | CERTFR-2022-AVI-1020 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1&todaysdate=2022-11-09 |
Python | Python 3 (module _sha3) | CVE-2022-37454 | 9.8 | Exécution de code arbitraire à distance | 07/11/2022 | Pas d’information | CERTFR-2022-AVI-996 | https://python-security.readthedocs.io/vuln/sha3-buffer-overflow.html#timeline |
IBM | IBM Tivoli Monitoring (libexpat) | CVE-2022-40674 | 9.8 | Exécution de code arbitraire à distance | 07/11/2022 | Pas d’information | CERTFR-2022-AVI-997/ | https://www.ibm.com/support/pages/node/6837645 |
Siemens | POWER METER SICAM | CVE-2022-43439 | 9.9 | Déni de service à distance, Exécution de code arbitraire à distance | 08/11/2022 | Pas d’information | CERTFR-2022-AVI-1001 | https://cert-portal.siemens.com/productcert/html/ssa-570294.html |
Siemens | POWER METER SICAM | CVE-2022-43545 | 9.9 | Déni de service à distance, Exécution de code arbitraire à distance | 08/11/2022 | Pas d’information | CERTFR-2022-AVI-1001 | https://cert-portal.siemens.com/productcert/html/ssa-570294.html |
Siemens | POWER METER SICAM | CVE-2022-43546 | 9.9 | Déni de service à distance, Exécution de code arbitraire à distance | 08/11/2022 | Pas d’information | CERTFR-2022-AVI-1001 | https://cert-portal.siemens.com/productcert/html/ssa-570294.html |
Siemens | SIMATIC, SINUMERIK | CVE-2022-38465 | 9.3 | Atteinte à la confidentialité des données | 08/11/2022 | Pas d’information | CERTFR-2022-AVI-1001 | https://cert-portal.siemens.com/productcert/html/ssa-568428.html |
Siemens | SCALANCE (PAPI UDP) | CVE-2022-37885 | 9.8 | Exécution de code arbitraire à distance | 08/11/2022 | Pas d’information | CERTFR-2022-AVI-1001 | https://cert-portal.siemens.com/productcert/html/ssa-506569.html |
Siemens | SCALANCE (PAPI UDP) | CVE-2022-37886 | 9.8 | Exécution de code arbitraire à distance | 08/11/2022 | Pas d’information | CERTFR-2022-AVI-1001 | https://cert-portal.siemens.com/productcert/html/ssa-506569.html |
Siemens | SCALANCE (PAPI UDP) | CVE-2022-37887 | 9.8 | Exécution de code arbitraire à distance | 08/11/2022 | Pas d’information | CERTFR-2022-AVI-1001 | https://cert-portal.siemens.com/productcert/html/ssa-506569.html |
Siemens | SCALANCE (PAPI UDP) | CVE-2022-37888 | 9.8 | Exécution de code arbitraire à distance | 08/11/2022 | Pas d’information | CERTFR-2022-AVI-1001 | https://cert-portal.siemens.com/productcert/html/ssa-506569.html |
Siemens | SCALANCE (PAPI UDP) | CVE-2022-37889 | 9.8 | Exécution de code arbitraire à distance | 08/11/2022 | Pas d’information | CERTFR-2022-AVI-1001 | https://cert-portal.siemens.com/productcert/html/ssa-506569.html |
Siemens | SCALANCE (web management interface) | CVE-2022-37890 | 9.8 | Exécution de code arbitraire à distance | 08/11/2022 | Pas d’information | CERTFR-2022-AVI-1001 | https://cert-portal.siemens.com/productcert/html/ssa-506569.html |
Siemens | SCALANCE (web management interface) | CVE-2022-37891 | 9.8 | Exécution de code arbitraire à distance | 08/11/2022 | Pas d’information | CERTFR-2022-AVI-1001 | https://cert-portal.siemens.com/productcert/html/ssa-506569.html |
Veeam | Veeam Backup pour Google Cloud | CVE-2022-43549 | 10 | Contournement de la politique de sécurité | 08/11/2022 | Pas d’information | CERTFR-2022-AVI-1003 | https://www.veeam.com/kb4374 |
Grafana | Grafana | CVE-2022-39328 | 9.8 | Élévation de privilèges | 09/11/2022 | Pas d’information | CERTFR-2022-AVI-1006 | https://github.com/grafana/grafana/security/advisories/GHSA-vqc4-mpj8-jxch |
Vmware | VMware Workspace ONE Assist (Assist) | CVE-2022-31686 | 9.8 | Contournement de la politique de sécurité | 09/11/2022 | Pas d’information | CERTFR-2022-AVI-1008 | https://www.vmware.com/security/advisories/VMSA-2022-0028.html |
Vmware | VMware Workspace ONE Assist (Assist) | CVE-2022-31687 | 9.8 | Contournement de la politique de sécurité | 09/11/2022 | Pas d’information | CERTFR-2022-AVI-1008 | https://www.vmware.com/security/advisories/VMSA-2022-0028.html |
Vmware | VMware Workspace ONE Assist (Assist) | CVE-2022-31685 | 9.8 | Contournement de la politique de sécurité | 09/11/2022 | Pas d’information | CERTFR-2022-AVI-1008 | https://www.vmware.com/security/advisories/VMSA-2022-0028.html |
Microsoft | Exchange | CVE-2022-41082 | 8.8 | Exécution de code arbitraire à distance | 08/11/2022 | Exploitée | CERTFR-2022-AVI-876 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082 |
Microsoft | Exchange | CVE-2022-41040 | 8.8 | Exécution de code arbitraire à distance | 08/11/2022 | Exploitée | CERTFR-2022-AVI-876 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040 |
Microsoft | Windows Print Spooler | CVE-2022-41073 | 7.8 | Élévation de privilèges | 08/11/2022 | Exploitée | CERTFR-2022-AVI-1012 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41073 |
Microsoft | Windows CNG Key | CVE-2022-41125 | 7.8 | Élévation de privilèges | 08/11/2022 | Exploitée | CERTFR-2022-AVI-1012 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41125 |
Microsoft | Windows Scripting Languages (IE) | CVE-2022-41128 | 8.8 | Exécution de code arbitraire à distance | 08/11/2022 | Exploitée | CERTFR-2022-AVI-1012 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41128 |
Microsoft | Windows Mark of the Web (MOTW) | CVE-2022-41091 | 5.4 | Contournement de la politique de sécurité | 08/11/2022 | Exploitée | CERTFR-2022-AVI-1012 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41091 |
Rappel des avis émis
Dans la période du 07 au 13 novembre 2022, le CERT-FR a émis les publications suivantes :
- CERTFR-2022-AVI-1000 : [SCADA] Multiples vulnérabilités dans les produits Schneider
- CERTFR-2022-AVI-1001 : [SCADA] Multiples vulnérabilités dans les produits Siemens
- CERTFR-2022-AVI-1002 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2022-AVI-1003 : Vulnérabilité dans Veeam Backup
- CERTFR-2022-AVI-1004 : Vulnérabilité dans Joomla
- CERTFR-2022-AVI-1005 : Multiples vulnérabilités dans les produits Citrix
- CERTFR-2022-AVI-1006 : Multiples vulnérabilités dans Grafana
- CERTFR-2022-AVI-1007 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2022-AVI-1008 : Multiples vulnérabilités dans VMware Workspace ONE Assist
- CERTFR-2022-AVI-1009 : Multiples vulnérabilités dans les produits Intel
- CERTFR-2022-AVI-1011 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2022-AVI-1012 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2022-AVI-1013 : Vulnérabilité dans Microsoft .Net
- CERTFR-2022-AVI-1014 : Multiples vulnérabilités dans Microsoft Azure
- CERTFR-2022-AVI-1015 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2022-AVI-1016 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-1017 : Vulnérabilité dans Python 3
- CERTFR-2022-AVI-1018 : Vulnérabilité dans Xen
- CERTFR-2022-AVI-1019 : Multiples vulnérabilités dans Tenable Nessus
- CERTFR-2022-AVI-1020 : Multiples vulnérabilités dans les produits SAP
- CERTFR-2022-AVI-1021 : Multiples vulnérabilités dans TrendMicro Apex One
- CERTFR-2022-AVI-1022 : Multiples vulnérabilités dans les produits Cisco
- CERTFR-2022-AVI-1023 : Vulnérabilité dans Palo Alto Networks Cortex XSOAR
- CERTFR-2022-AVI-1024 : Multiples vulnérabilités dans les produits Apple
- CERTFR-2022-AVI-1025 : Multiples vulnérabilités dans IBM QRadar
- CERTFR-2022-AVI-996 : Vulnérabilité dans Python 3
- CERTFR-2022-AVI-997 : Multiples vulnérabilités dans IBM Tivoli
- CERTFR-2022-AVI-998 : Multiples vulnérabilités dans Android
- CERTFR-2022-AVI-999 : Multiples vulnérabilités dans Foxit PDF