Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 26
Tableau récapitulatif :
Vulnérabilités critiques du 26/06/23 au 02/07/23
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| Grafana | Grafana | CVE-2023-3128 | 9.4 | Contournement de la politique de sécurité | 22/06/2023 | Pas d’information | CERTFR-2023-AVI-0497 | https://grafana.com/blog/2023/06/22/grafana-security-release-for-cve-2023-3128/ |
| Tenable | Nessus Network Monitor (sqlite) | CVE-2019-19317 | 9.8 | Non spécifié par l’éditeur | 29/06/2023 | Pas d’information | CERTFR-2023-AVI-0499 | https://www.tenable.com/security/tns-2023-23 |
| Tenable | Nessus Network Monitor (c-ares) | CVE-2016-5180 | 9.8 | Non spécifié par l’éditeur | 29/06/2023 | Pas d’information | CERTFR-2023-AVI-0499 | https://www.tenable.com/security/tns-2023-23 |
| Tenable | Nessus Network Monitor (curl) | CVE-2023-23914 | 9.1 | Non spécifié par l’éditeur | 29/06/2023 | Pas d’information | CERTFR-2023-AVI-0499 | https://www.tenable.com/security/tns-2023-23 |
| Tenable | Nessus Network Monitor (libbzip2) | CVE-2019-12900 | 9.8 | Non spécifié par l’éditeur | 29/06/2023 | Pas d’information | CERTFR-2023-AVI-0499 | https://www.tenable.com/security/tns-2023-23 |
| Tenable | Nessus Network Monitor (libxml2) | CVE-2017-16931 | 9.8 | Non spécifié par l’éditeur | 29/06/2023 | Pas d’information | CERTFR-2023-AVI-0499 | https://www.tenable.com/security/tns-2023-23 |
| Tenable | Nessus Network Monitor (libxml2) | CVE-2017-8872 | 9.1 | Non spécifié par l’éditeur | 29/06/2023 | Pas d’information | CERTFR-2023-AVI-0499 | https://www.tenable.com/security/tns-2023-23 |
| Tenable | Nessus Network Monitor (libxml2) | CVE-2017-7376 | 9.8 | Non spécifié par l’éditeur | 29/06/2023 | Pas d’information | CERTFR-2023-AVI-0499 | https://www.tenable.com/security/tns-2023-23 |
| Tenable | Nessus Network Monitor (libxml2) | CVE-2017-7375 | 9.8 | Non spécifié par l’éditeur | 29/06/2023 | Pas d’information | CERTFR-2023-AVI-0499 | https://www.tenable.com/security/tns-2023-23 |
| Tenable | Nessus Network Monitor (libxml2) | CVE-2016-4448 | 9.8 | Non spécifié par l’éditeur | 29/06/2023 | Pas d’information | CERTFR-2023-AVI-0499 | https://www.tenable.com/security/tns-2023-23 |
| Tenable | Nessus Network Monitor (libxml2) | CVE-2015-8710 | 9.8 | Non spécifié par l’éditeur | 29/06/2023 | Pas d’information | CERTFR-2023-AVI-0499 | https://www.tenable.com/security/tns-2023-23 |
| Tenable | Nessus Network Monitor (libxslt) | CVE-2019-11068 | 9.8 | Non spécifié par l’éditeur | 29/06/2023 | Pas d’information | CERTFR-2023-AVI-0499 | https://www.tenable.com/security/tns-2023-23 |
| Tenable | Nessus Network Monitor (libxslt) | CVE-2016-4609 | 9.8 | Non spécifié par l’éditeur | 29/06/2023 | Pas d’information | CERTFR-2023-AVI-0499 | https://www.tenable.com/security/tns-2023-23 |
| Tenable | Nessus Network Monitor (libxslt) | CVE-2016-4607 | 9.8 | Non spécifié par l’éditeur | 29/06/2023 | Pas d’information | CERTFR-2023-AVI-0499 | https://www.tenable.com/security/tns-2023-23 |
| Tenable | Nessus Network Monitor (sqlite) | CVE-2020-35527 | 9.8 | Non spécifié par l’éditeur | 29/06/2023 | Pas d’information | CERTFR-2023-AVI-0499 | https://www.tenable.com/security/tns-2023-23 |
| Tenable | Nessus Network Monitor (sqlite) | CVE-2020-11656 | 9.8 | Non spécifié par l’éditeur | 29/06/2023 | Pas d’information | CERTFR-2023-AVI-0499 | https://www.tenable.com/security/tns-2023-23 |
| Tenable | Nessus Network Monitor (sqlite) | CVE-2019-19646 | 9.8 | Non spécifié par l’éditeur | 29/06/2023 | Pas d’information | CERTFR-2023-AVI-0499 | https://www.tenable.com/security/tns-2023-23 |
| MongoDB | Ops Manager Server (Go) | CVE-2023-24540 | 9.8 | Non spécifié par l’éditeur | 15/06/2023 | Pas d’information | CERTFR-2023-AVI-0500 | https://www.mongodb.com/docs/ops-manager/current/release-notes/application/#onprem-server-6-0-15 |
Autres vulnérabilités
CVE-2016-4658, CVE-2022-32207 et CVE-2022-32221 : Multiples vulnérabilités dans Tenable Nessus Network Monitor
En complément des vulnérabilités mentionnées dans le tableau, Tenable a également proposé des correctifs pour des vulnérabilités critiques affectant des composants tiers de Nessus Network Monitor, à savoir cURL (CVE-2016-4658 et CVE-2022-32207) et la bibliothèque libxml2 (CVE-2022-32221).
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0499/
- https://www.tenable.com/security/tns-2023-23
CVE-2022-33980, CVE-2022-42889 et CVE-2023-24540: Multiples vulnérabilités dans IBM Db2
Des correctifs sont disponibles pour les vulnérabilités critiques affectant des composants tiers de Db2. Les vulnérabilités CVE-2022-42889, CVE-2022-33980 et CVE-2023-24540 affectent respectivement la bibliothèque Apache Commons Text, Apache Commons Configuration ainsi que le langage de programmation Go.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0504/
- https://www.ibm.com/support/pages/node/7008449
CVE-2023-3460, CVE-2023-2982 : Multiples vulnérabilités dans des greffons de WordPress
Les 28 et 29 juin 2023, des chercheurs ont publiés des informations sur des vulnérabilités critiques affectant deux greffons (plugins) de la solution WordPress. La vulnérabilité CVE-2023-2982 concerne le plugin miniOrange et permet à un attaquant non authentifié d’obtenir les droits d’accès d’un utilisateur légitime. Cette vulnérabilité est corrigée dans la version 7.6.5 du plugin. La vulnérabilité CVE-2023-3460 affecte le plugin Ultimate Member et permet à un attaquant non authentifié de créer un compte administrateur dans l’application WordPress. Cette vulnérabilité n’est pas corrigée à l’heure de la publication de ce bulletin, il est donc fortement conseillé de désactiver ce plugin et d’effectuer des recherches afin d’identifier tout compte administrateur non légitime.
Des vulnérabilités sont régulièrements détectées dans les plugins de WordPress. Le CERT-FR recommande de sélectionner les plugins avec prudence et de n’utiliser que ceux activement maintenus, et pour lesquels des correctifs de sécurité sont publiés.
Liens :
- https://www.wordfence.com/blog/2023/06/miniorange-addresses-authentication-bypass-vulnerability-in-wordpress-social-login-and-register-wordpress-plugin/
- https://blog.wpscan.com/hacking-campaign-actively-exploiting-ultimate-member-plugin/
- https://www.wordfence.com/threat-intel/vulnerabilities
Anciennes vulnérabilités
CVE-2023-24488 : Vulnérabilité dans Citrix ADC et Citrix Gateway
Le 10 mai 2023, un avis CERT-FR avait été publié annonçant la correction de deux vulnérabilités dans les produits Citrix ADC et Citrix Gateway. Une preuve de concept a été publiée le 29 juin 2023, expliquant comment exploiter la vulnérabilité XSS (CVE-2023-24488) afin de voler les identifiants de connexion de l’utilisateur au moyen d’un formulaire spécialement construit pour le tromper.
Le CERT-FR recommande de mettre rapidement à jour les équipements Citrix ADC et Citrix Gateway (se référer à l’avis pour l’obtention des correctifs).
Liens :
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 26 juin au 02 juillet 2023, le CERT-FR a émis les publications suivantes :
- CERTFR-2023-AVI-0490 : Multiples vulnérabilités dans NetApp ONTAP
- CERTFR-2023-AVI-0491 : Multiples vulnérabilités dans Liferay
- CERTFR-2023-AVI-0492 : Vulnérabilité dans les produits Ivanti
- CERTFR-2023-AVI-0493 : Vulnérabilité dans les produits Tenable
- CERTFR-2023-AVI-0494 : Multiples vulnérabilités dans Stormshield Endpoint Security
- CERTFR-2023-AVI-0495 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2023-AVI-0496 : Multiples vulnérabilités dans Tenable Nessus
- CERTFR-2023-AVI-0497 : Multiples vulnérabilités dans Grafana
- CERTFR-2023-AVI-0498 : Multiples vulnérabilités dans Synology Mail Station
- CERTFR-2023-AVI-0499 : Multiples vulnérabilités dans Tenable Nessus Network Monitor
- CERTFR-2023-AVI-0500 : Multiples vulnérabilités dans MongoDB
- CERTFR-2023-AVI-0501 : Multiples vulnérabilités dans GitLab
- CERTFR-2023-AVI-0502 : Vulnérabilité dans Elasticsearch
- CERTFR-2023-AVI-0503 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2023-AVI-0504 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2023-AVI-0505 : Multiples vulnérabilités dans le noyau Linux de RedHat
- CERTFR-2023-AVI-0506 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2023-AVI-0507 : Multiples vulnérabilités dans le noyau Linux de SUSE
