Alertes sécurité du CERT – 19/08/2024 - Risques Cyber de la semaine : Microsoft – Zabbix – Siemens – SAP

Veuillez trouver le bulletin d’actualité du CERT du 19 août reprenant :

Vulnérabilités significatives de la semaine 32

TABLEAU RÉCAPITULATIF :

Vulnérabilités critiques du 12/08/24 au 18/08/24

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur

Zabbix Zabbix CVE-2024-36461 9.1 Exécution de code arbitraire à distance 09/08/2024 Pas d’information CERTFR-2024-AVI-0674 https://www.zabbix.com/security_advisories

Zabbix Zabbix CVE-2024-22116 9.9 Exécution de code arbitraire à distance 09/08/2024 Pas d’information CERTFR-2024-AVI-0674 https://www.zabbix.com/security_advisories

Siemens SINEC NMS CVE-2024-41940 9.1 Exécution de code arbitraire à distance 13/08/2024 Pas d’information CERTFR-2024-AVI-0672 https://cert-portal.siemens.com/productcert/html/ssa-784301.html

SAP Build Apps CVE-2024-29415 9.1 Contournement de la politique de sécurité 13/08/2024 Pas d’information CERTFR-2024-AVI-0671 https://support.sap.com/en/my-support/knowledge-base/security-notes-news/august-2024.html

SAP BusinessObjects Business Intelligence Platform CVE-2024-41730 9.8 Contournement de la politique de sécurité 13/08/2024 Pas d’information CERTFR-2024-AVI-0671 https://support.sap.com/en/my-support/knowledge-base/security-notes-news/august-2024.html

Microsoft Windows CVE-2024-38106 7.0 Élévation de privilèges 13/08/2024 Exploitée CERTFR-2024-AVI-0681 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38106

Microsoft Windows, Windows Server (pile TCP/IP IPV6) CVE-2024-38063 9.8 Exécution de code arbitraire à distance 13/08/2024 Pas d’information CERTFR-2024-AVI-0681 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063

Microsoft Windows, Windows Server (Pilote de fonction auxiliaire pour WinSock) CVE-2024-38193 7.8 Élévation de privilèges 13/08/2024 Exploitée CERTFR-2024-AVI-0681 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38193

Microsoft Windows, Windows Server (Power Dependency Coordinator) CVE-2024-38107 7.8 Élévation de privilèges 13/08/2024 Exploitée CERTFR-2024-AVI-0681 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38107

Microsoft Windows, Windows Server (Mark of the Web) CVE-2024-38213 6.5 Contournement de la politique de sécurité 13/08/2024 Exploitée CERTFR-2024-AVI-0681 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38213

Microsoft Office Project CVE-2024-38189 8.8 Exécution de code arbitraire à distance 13/08/2024 Exploitée CERTFR-2024-AVI-0680 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38189

Microsoft Windows, Windows Server (Moteur de script) CVE-2024-38178 7.5 Exécution de code arbitraire à distance 13/08/2024 Exploitée CERTFR-2024-AVI-0681 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38178

Microsoft Azure Stack Hub CVE-2024-38108 9.3 XSS 13/08/2024 Pas d’information CERTFR-2024-AVI-0683 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38108

Microsoft Windows Server, Windows 10, Windows 11 CVE-2024-38140 9.8 Exécution de code arbitraire à distance 13/08/2024 Pas d’information CERTFR-2024-AVI-0681 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38140

Microsoft Windows Server, Windows 10 CVE-2024-38159 9.1 Exécution de code arbitraire à distance 13/08/2024 Pas d’information CERTFR-2024-AVI-0681 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38159

Microsoft Windows Server, Windows 10 CVE-2024-38160 9.1 Exécution de code arbitraire à distance 13/08/2024 Pas d’information CERTFR-2024-AVI-0681 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38160

Microsoft Windows Server, Windows 10, Windows 11 CVE-2024-38199 9.8 Exécution de code arbitraire à distance 13/08/2024 Pas d’information CERTFR-2024-AVI-0681 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38199

Microsoft Azure Health Bot CVE-2024-38109 9.1 Élévation de privilèges 13/08/2024 Pas d’information CERTFR-2024-AVI-0683 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38109

Solarwinds Web Help Desk CVE-2024-28986 9.8 Exécution de code arbitraire à distance 09/08/2024 Exploitée CERTFR-2024-AVI-0685 https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28986

Adobe Commerce, Magento Open Source CVE-2024-39397 9.0 Exécution de code arbitraire à distance 13/08/2024 Pas d’information CERTFR-2024-AVI-0678 https://helpx.adobe.com/security/products/magento/apsb24-61.html

Autres Vulnérabilités

CVE-2024-38474 + 38475 : Multiples vulnérabilités dans APACHE HTTP SERVER

Rappel des avis émis

Editeur	Produit	Identifiant CVE	Score CVSSv3	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Zabbix	Zabbix	CVE-2024-36461	9.1	Exécution de code arbitraire à distance	09/08/2024	Pas d’information	CERTFR-2024-AVI-0674	https://www.zabbix.com/security_advisories
Zabbix	Zabbix	CVE-2024-22116	9.9	Exécution de code arbitraire à distance	09/08/2024	Pas d’information	CERTFR-2024-AVI-0674	https://www.zabbix.com/security_advisories
Siemens	SINEC NMS	CVE-2024-41940	9.1	Exécution de code arbitraire à distance	13/08/2024	Pas d’information	CERTFR-2024-AVI-0672	https://cert-portal.siemens.com/productcert/html/ssa-784301.html
SAP	Build Apps	CVE-2024-29415	9.1	Contournement de la politique de sécurité	13/08/2024	Pas d’information	CERTFR-2024-AVI-0671	https://support.sap.com/en/my-support/knowledge-base/security-notes-news/august-2024.html
SAP	BusinessObjects Business Intelligence Platform	CVE-2024-41730	9.8	Contournement de la politique de sécurité	13/08/2024	Pas d’information	CERTFR-2024-AVI-0671	https://support.sap.com/en/my-support/knowledge-base/security-notes-news/august-2024.html
Microsoft	Windows	CVE-2024-38106	7.0	Élévation de privilèges	13/08/2024	Exploitée	CERTFR-2024-AVI-0681	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38106
Microsoft	Windows, Windows Server (pile TCP/IP IPV6)	CVE-2024-38063	9.8	Exécution de code arbitraire à distance	13/08/2024	Pas d’information	CERTFR-2024-AVI-0681	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063
Microsoft	Windows, Windows Server (Pilote de fonction auxiliaire pour WinSock)	CVE-2024-38193	7.8	Élévation de privilèges	13/08/2024	Exploitée	CERTFR-2024-AVI-0681	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38193
Microsoft	Windows, Windows Server (Power Dependency Coordinator)	CVE-2024-38107	7.8	Élévation de privilèges	13/08/2024	Exploitée	CERTFR-2024-AVI-0681	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38107
Microsoft	Windows, Windows Server (Mark of the Web)	CVE-2024-38213	6.5	Contournement de la politique de sécurité	13/08/2024	Exploitée	CERTFR-2024-AVI-0681	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38213
Microsoft	Office Project	CVE-2024-38189	8.8	Exécution de code arbitraire à distance	13/08/2024	Exploitée	CERTFR-2024-AVI-0680	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38189
Microsoft	Windows, Windows Server (Moteur de script)	CVE-2024-38178	7.5	Exécution de code arbitraire à distance	13/08/2024	Exploitée	CERTFR-2024-AVI-0681	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38178
Microsoft	Azure Stack Hub	CVE-2024-38108	9.3	XSS	13/08/2024	Pas d’information	CERTFR-2024-AVI-0683	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38108
Microsoft	Windows Server, Windows 10, Windows 11	CVE-2024-38140	9.8	Exécution de code arbitraire à distance	13/08/2024	Pas d’information	CERTFR-2024-AVI-0681	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38140
Microsoft	Windows Server, Windows 10	CVE-2024-38159	9.1	Exécution de code arbitraire à distance	13/08/2024	Pas d’information	CERTFR-2024-AVI-0681	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38159
Microsoft	Windows Server, Windows 10	CVE-2024-38160	9.1	Exécution de code arbitraire à distance	13/08/2024	Pas d’information	CERTFR-2024-AVI-0681	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38160
Microsoft	Windows Server, Windows 10, Windows 11	CVE-2024-38199	9.8	Exécution de code arbitraire à distance	13/08/2024	Pas d’information	CERTFR-2024-AVI-0681	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38199
Microsoft	Azure Health Bot	CVE-2024-38109	9.1	Élévation de privilèges	13/08/2024	Pas d’information	CERTFR-2024-AVI-0683	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38109
Solarwinds	Web Help Desk	CVE-2024-28986	9.8	Exécution de code arbitraire à distance	09/08/2024	Exploitée	CERTFR-2024-AVI-0685	https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28986
Adobe	Commerce, Magento Open Source	CVE-2024-39397	9.0	Exécution de code arbitraire à distance	13/08/2024	Pas d’information	CERTFR-2024-AVI-0678	https://helpx.adobe.com/security/products/magento/apsb24-61.html

Source : Bulletin d’actualité CERTFR-2023-ACT-037

Alertes sécurité du CERT – 19/08/2024 – Risques Cyber de la semaine : Microsoft – Zabbix – Siemens – SAP – Solarwinds – Adobe

TABLEAU RÉCAPITULATIF :

Autres Vulnérabilités

Rappel des avis émis

Recherche

Catégories