Alertes sécurité du CERT – 28/10/2024 - Risques Cyber de la semaine : Moxa – Grafan Labs – Trend Micro – Oracle

Veuillez trouver le bulletin d’actualité du CERT du 21 octobre reprenant :

Vulnérabilités significatives de la semaine 42

TABLEAU RÉCAPITULATIF :

Vulnérabilités critiques du 14/10/24 au 20/10/24

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur

Moxa EDF-G1002-BP Series, EDR-8010 Series, EDR-G9004, EDR-G9010, NAT-102, OnCell G4302-LTE4, TN-4900 CVE-2024-9137 9.4 Exécution de code arbitraire à distance 14/10/2024 Pas d’information CERTFR-2024-AVI-0875 https://www.moxa.com/en/support/product-support/security-advisory/mpsa-241154-missing-authentication-and-os-command-injection-vulnerabilities-in-routers-and-network-security-appliances

Grafana Labs Grafana CVE-2024-9264 9.4 Exécution de code arbitraire à distance 17/10/2024 Preuve de concept publique CERTFR-2024-AVI-0899 https://grafana.com/blog/2024/10/17/grafana-security-release-critical-severity-fix-for-cve-2024-9264/

Trend Micro Cloud Edge CVE-2024-48904 9.8 Exécution de code arbitraire à distance 15/10/2024 Pas d’information CERTFR-2024-AVI-0880 https://success.trendmicro.com/en-US/solution/KA-0017998

Oracle Systems CVE-2022-46337 9.8 Exécution de code arbitraire à distance 16/10/2024 Pas d’information CERTFR-2024-AVI-0886 https://www.oracle.com/security-alerts/cpuoct2024.html

Oracle MySQL Cluster CVE-2024-37371 9.1 Déni de service à distance 15/10/2024 Pas d’information CERTFR-2024-AVI-0884 https://www.oracle.com/security-alerts/cpuoct2024.html

Oracle MySQL Connectors, MySQL Entreprise Backkup, MySQL Entreprise Monitor, MySQL Cluster, MySQL Server, MySQL Workbench CVE-2024-5535 9.1 Déni de service à distance 15/10/2024 Pas d’information CERTFR-2024-AVI-0884 https://www.oracle.com/security-alerts/cpuoct2024.html

Oracle Weblogic CVE-2024-21216 9.8 Exécution de code arbitraire à distance 15/10/2024 Pas d’information CERTFR-2024-AVI-0888 https://www.oracle.com/security-alerts/cpuoct2024.html

F5 BIG-IP CVE-2024-45844 7.2 Élévation de privilèges 15/10/2024 Preuve de concept publique CERTFR-2024-AVI-0893 https://my.f5.com/manage/s/article/K12201527

Autres vulnérabilités

CVE-2024-30088 : Vulnérabilités dans MICROSOFT WINDOWS

CVE-2024-28987 + 988: Vulnérabilité dans SOLARWINDS WEB HELP DESK

CVE-2024-40711: Vulnérabilité dans VEEAM BACKUP & REPLICATION

CVE-2024-45519 : Vulnérabilité dans ZIMBRA

CVE-2024-9487: Vulnérabilité dans GITHUB ENTERPRISE SERVER

Rappel des avis émis

Editeur	Produit	Identifiant CVE	Score CVSSv3	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Moxa	EDF-G1002-BP Series, EDR-8010 Series, EDR-G9004, EDR-G9010, NAT-102, OnCell G4302-LTE4, TN-4900	CVE-2024-9137	9.4	Exécution de code arbitraire à distance	14/10/2024	Pas d’information	CERTFR-2024-AVI-0875	https://www.moxa.com/en/support/product-support/security-advisory/mpsa-241154-missing-authentication-and-os-command-injection-vulnerabilities-in-routers-and-network-security-appliances
Grafana Labs	Grafana	CVE-2024-9264	9.4	Exécution de code arbitraire à distance	17/10/2024	Preuve de concept publique	CERTFR-2024-AVI-0899	https://grafana.com/blog/2024/10/17/grafana-security-release-critical-severity-fix-for-cve-2024-9264/
Trend Micro	Cloud Edge	CVE-2024-48904	9.8	Exécution de code arbitraire à distance	15/10/2024	Pas d’information	CERTFR-2024-AVI-0880	https://success.trendmicro.com/en-US/solution/KA-0017998
Oracle	Systems	CVE-2022-46337	9.8	Exécution de code arbitraire à distance	16/10/2024	Pas d’information	CERTFR-2024-AVI-0886	https://www.oracle.com/security-alerts/cpuoct2024.html
Oracle	MySQL Cluster	CVE-2024-37371	9.1	Déni de service à distance	15/10/2024	Pas d’information	CERTFR-2024-AVI-0884	https://www.oracle.com/security-alerts/cpuoct2024.html
Oracle	MySQL Connectors, MySQL Entreprise Backkup, MySQL Entreprise Monitor, MySQL Cluster, MySQL Server, MySQL Workbench	CVE-2024-5535	9.1	Déni de service à distance	15/10/2024	Pas d’information	CERTFR-2024-AVI-0884	https://www.oracle.com/security-alerts/cpuoct2024.html
Oracle	Weblogic	CVE-2024-21216	9.8	Exécution de code arbitraire à distance	15/10/2024	Pas d’information	CERTFR-2024-AVI-0888	https://www.oracle.com/security-alerts/cpuoct2024.html
F5	BIG-IP	CVE-2024-45844	7.2	Élévation de privilèges	15/10/2024	Preuve de concept publique	CERTFR-2024-AVI-0893	https://my.f5.com/manage/s/article/K12201527

Source : Bulletin d’actualité CERTFR-2023-ACT-046

Alertes sécurité du CERT – 28/10/2024 – Risques Cyber de la semaine : Moxa – Grafan Labs – Trend Micro – Oracle – F5

TABLEAU RÉCAPITULATIF :

Autres vulnérabilités

Recherche

Catégories