Veuillez trouver le bulletin d’actualité du CERT du 14 novembre reprenant :
Vulnérabilités significatives de la semaine 45
TABLEAU RÉCAPITULATIF :
Vulnérabilités critiques du 07/11/22 au 13/11/22
Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur SAP SAPUI5 et SAPUI5 CLIENT RUNTIME (SQLite) CVE-2022-35737 9.8 Exécution de code arbitraire à distance 08/11/2022 Preuve de concept publiquement disponible CERTFR-2022-AVI-1020 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1&todaysdate=2022-11-09 SAP SAPUI5 et SAPUI5 CLIENT RUNTIME (SQLite) CVE-2021-20223 9.8 Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1020 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1&todaysdate=2022-11-09 SAP BusinessObjects Business Intelligence Platform CVE-2022-41203 9.9 Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1020 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1&todaysdate=2022-11-09 Python Python 3 (module _sha3) CVE-2022-37454 9.8 Exécution de code arbitraire à distance 07/11/2022 Pas d’information CERTFR-2022-AVI-996 https://python-security.readthedocs.io/vuln/sha3-buffer-overflow.html#timeline IBM IBM Tivoli Monitoring (libexpat) CVE-2022-40674 9.8 Exécution de code arbitraire à distance 07/11/2022 Pas d’information CERTFR-2022-AVI-997/ https://www.ibm.com/support/pages/node/6837645 Siemens POWER METER SICAM CVE-2022-43439 9.9 Déni de service à distance, Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1001 https://cert-portal.siemens.com/productcert/html/ssa-570294.html Siemens POWER METER SICAM CVE-2022-43545 9.9 Déni de service à distance, Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1001 https://cert-portal.siemens.com/productcert/html/ssa-570294.html Siemens POWER METER SICAM CVE-2022-43546 9.9 Déni de service à distance, Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1001 https://cert-portal.siemens.com/productcert/html/ssa-570294.html Siemens SIMATIC, SINUMERIK CVE-2022-38465 9.3 Atteinte à la confidentialité des données 08/11/2022 Pas d’information CERTFR-2022-AVI-1001 https://cert-portal.siemens.com/productcert/html/ssa-568428.html Siemens SCALANCE (PAPI UDP) CVE-2022-37885 9.8 Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1001 https://cert-portal.siemens.com/productcert/html/ssa-506569.html Siemens SCALANCE (PAPI UDP) CVE-2022-37886 9.8 Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1001 https://cert-portal.siemens.com/productcert/html/ssa-506569.html Siemens SCALANCE (PAPI UDP) CVE-2022-37887 9.8 Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1001 https://cert-portal.siemens.com/productcert/html/ssa-506569.html Siemens SCALANCE (PAPI UDP) CVE-2022-37888 9.8 Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1001 https://cert-portal.siemens.com/productcert/html/ssa-506569.html Siemens SCALANCE (PAPI UDP) CVE-2022-37889 9.8 Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1001 https://cert-portal.siemens.com/productcert/html/ssa-506569.html Siemens SCALANCE (web management interface) CVE-2022-37890 9.8 Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1001 https://cert-portal.siemens.com/productcert/html/ssa-506569.html Siemens SCALANCE (web management interface) CVE-2022-37891 9.8 Exécution de code arbitraire à distance 08/11/2022 Pas d’information CERTFR-2022-AVI-1001 https://cert-portal.siemens.com/productcert/html/ssa-506569.html Veeam Veeam Backup pour Google Cloud CVE-2022-43549 10 Contournement de la politique de sécurité 08/11/2022 Pas d’information CERTFR-2022-AVI-1003 https://www.veeam.com/kb4374 Grafana Grafana CVE-2022-39328 9.8 Élévation de privilèges 09/11/2022 Pas d’information CERTFR-2022-AVI-1006 https://github.com/grafana/grafana/security/advisories/GHSA-vqc4-mpj8-jxch Vmware VMware Workspace ONE Assist (Assist) CVE-2022-31686 9.8 Contournement de la politique de sécurité 09/11/2022 Pas d’information CERTFR-2022-AVI-1008 https://www.vmware.com/security/advisories/VMSA-2022-0028.html Vmware VMware Workspace ONE Assist (Assist) CVE-2022-31687 9.8 Contournement de la politique de sécurité 09/11/2022 Pas d’information CERTFR-2022-AVI-1008 https://www.vmware.com/security/advisories/VMSA-2022-0028.html Vmware VMware Workspace ONE Assist (Assist) CVE-2022-31685 9.8 Contournement de la politique de sécurité 09/11/2022 Pas d’information CERTFR-2022-AVI-1008 https://www.vmware.com/security/advisories/VMSA-2022-0028.html Microsoft Exchange CVE-2022-41082 8.8 Exécution de code arbitraire à distance 08/11/2022 Exploitée CERTFR-2022-AVI-876 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082 Microsoft Exchange CVE-2022-41040 8.8 Exécution de code arbitraire à distance 08/11/2022 Exploitée CERTFR-2022-AVI-876 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040 Microsoft Windows Print Spooler CVE-2022-41073 7.8 Élévation de privilèges 08/11/2022 Exploitée CERTFR-2022-AVI-1012 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41073 Microsoft Windows CNG Key CVE-2022-41125 7.8 Élévation de privilèges 08/11/2022 Exploitée CERTFR-2022-AVI-1012 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41125 Microsoft Windows Scripting Languages (IE) CVE-2022-41128 8.8 Exécution de code arbitraire à distance 08/11/2022 Exploitée CERTFR-2022-AVI-1012 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41128 Microsoft Windows Mark of the Web (MOTW) CVE-2022-41091 5.4 Contournement de la politique de sécurité 08/11/2022 Exploitée CERTFR-2022-AVI-1012 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41091 Rappel des avis émis