+33 2 32 80 88 00 Contact

Veuillez trouver le bulletin d’actualité du CERT du 08 janvier reprenant :

Vulnérabilités significatives de la semaine 02

TABLEAU RÉCAPITULATIF :

 

Vulnérabilités critiques du 08/01/24 au 14/01/24

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Juniper Networks Junos OS CVE-2024-21591 9.8 Exécution de code arbitraire à distance 10/01/2024 Pas d’information CERTFR-2024-AVI-0027 https://supportportal.juniper.net/s/article/2024-01-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Security-Vulnerability-in-J-web-allows-a-preAuth-Remote-Code-Execution-CVE-2024-21591?language=en_US
Ivanti Connect Secure, Policy Secure Gateways, Ivanti Neurons for ZTA gateways CVE-2024-21887 9.1 Exécution de code arbitraire à distance 10/01/2024 Exploitée CERTFR-2024-ALE-001 https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
Ivanti Connect Secure, Policy Secure Gateways, Ivanti Neurons for ZTA gateways CVE-2023-46805 8.2 Contournement de la politique de sécurité 10/01/2024 Exploitée CERTFR-2024-ALE-001 https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
SAP Web IDE Full-Stack, Web IDE pour SAP HANA, Edge Integration Cell, Business Technology Platform (BTP) Security Services Integration Libraries CVE-2023-50422 9.1 Élévation de privilèges 09/01/2024 Pas d’information CERTFR-2024-AVI-0018 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
SAP Business Technology Platform (BTP) Security Services Integration Libraries CVE-2023-50423 9.1 Élévation de privilèges 09/01/2024 Pas d’information CERTFR-2024-AVI-0018 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
SAP Business Technology Platform (BTP) Security Services Integration Libraries CVE-2023-50424 9.1 Élévation de privilèges 09/01/2024 Pas d’information CERTFR-2024-AVI-0018 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
SAP Business Application Studio, Web IDE Full-Stack, Web IDE pour SAP HANA, Edge Integration Cell, Business Technology Platform (BTP) Security Services Integration Libraries CVE-2023-49583 9.1 Élévation de privilèges 09/01/2024 Pas d’information CERTFR-2024-AVI-0018 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
Microsoft Windows, Windows Server CVE-2024-20674 8.8 Contournement de la politique de sécurité 09/01/2024 Pas d’information CERTFR-2024-AVI-0021 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-20674
Microsoft .NET CVE-2024-0057 9.1 Contournement de la politique de sécurité 09/01/2024 Pas d’information CERTFR-2024-AVI-0024 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-0057
Siemens SIMATIC CN 4100 CVE-2023-49621 9.8 Contournement de la politique de sécurité 09/01/2024 Pas d’information CERTFR-2024-AVI-0014 https://cert-portal.siemens.com/productcert/html/ssa-777015.html
Siemens SIMATIC IPC647E , SIMATIC IPC847E, SIMATIC IPC1047E CVE-2023-51438 10 Exécution de code arbitraire à distance 09/01/2024 Pas d’information CERTFR-2024-AVI-0014 https://cert-portal.siemens.com/productcert/html/ssa-702935.html
GitLab Community Edition (CE) et Enterprise Edition (EE) CVE-2023-5356 9.6 Exécution de code arbitraire à distance 11/01/2024 Pas d’information CERTFR-2024-AVI-0030 https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/
GitLab Community Edition (CE) et Enterprise Edition (EE) CVE-2023-7028 10 Contournement de la politique de sécurité 11/01/2024 Code d’exploitation public CERTFR-2024-ALE-002 https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/
  • CVE-2019-17571+2020-9493+2021-26691+2021-39275+2021-44228+2021-44790+2022-23305-2022-37434+2023-38408: Multiples vulnérabilités critique dans les produits JUNIPER NETWORKS
  • CVE-204-21884+2023-46805 : Multiples vulnérabilités dans les produits IVANTI
  • CVE2023-7028 : Vulnérabilité dans les produits GITLAB

Autres vulnérabilités

  • CVE-2023–29357: Vulnérabilité dans MICROSOFT SHAREPOINT
  • CVE-2023-48795 : Vulnérabilités dans les produits PALO ALTO NETWORKS
  • CVE-2023-51467 : Vulnérabilité dans APACHE OFBIZ

Rappel des avis émis

Source : Bulletin d’actualité CERTFR-2023-ACT-003