Alertes sécurité du CERT – 20/11/2023 - Risques Cyber de la semaine : Siemens - VMware – Adobe – Aruba – SAP – Microsoft

Veuillez trouver le bulletin d’actualité du CERT du 20 novembre reprenant :

Vulnérabilités significatives de la semaine 46

TABLEAU RÉCAPITULATIF :

Vulnérabilités critiques du 13/11/23 au 19/11/23

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur

Siemens COMOS CVE-2023-43505 9.6 Contournement de la politique de sécurité 14/11/2023 Pas d’information CERTFR-2023-AVI-0935 https://cert-portal.siemens.com/productcert/html/ssa-137900.html

Siemens COMOS CVE-2023-46601 9.6 Exécution de code arbitraire à distance 14/11/2023 Pas d’information CERTFR-2023-AVI-0935 https://cert-portal.siemens.com/productcert/html/ssa-137900.html

Siemens COMOS CVE-2023-43504 9.6 Exécution de code arbitraire à distance 14/11/2023 Pas d’information CERTFR-2023-AVI-0935 https://cert-portal.siemens.com/productcert/html/ssa-137900.html

Siemens COMOS CVE-2020-25020 9.8 Exécution de code arbitraire à distance 14/11/2023 Pas d’information CERTFR-2023-AVI-0935 https://cert-portal.siemens.com/productcert/html/ssa-137900.html

Siemens Desigo CC CVE-2021-20093 9.1 Atteinte à la confidentialité des données 14/11/2023 Pas d’information CERTFR-2023-AVI-0935 https://cert-portal.siemens.com/productcert/html/ssa-625850.html

Siemens SIMATIC MV500 CVE-2022-23218 9.8 Exécution de code arbitraire à distance, Déni de service à distance 14/11/2023 Pas d’information CERTFR-2023-AVI-0935 https://cert-portal.siemens.com/productcert/html/ssa-099606.html

Siemens SIMATIC MV500 CVE-2022-23219 9.8 Exécution de code arbitraire à distance, Déni de service à distance 14/11/2023 Pas d’information CERTFR-2023-AVI-0935 https://cert-portal.siemens.com/productcert/html/ssa-099606.html

Siemens SIPROTEC 4 7SJ66 CVE-2019-12255 9.1 Non spécifié par l’éditeur 14/11/2023 Pas d’information CERTFR-2023-AVI-0935 https://cert-portal.siemens.com/productcert/html/ssa-617233.html

Siemens SIPROTEC 4 7SJ66 CVE-2019-12256 9.1 Non spécifié par l’éditeur 14/11/2023 Pas d’information CERTFR-2023-AVI-0935 https://cert-portal.siemens.com/productcert/html/ssa-617233.html

Siemens SIPROTEC 4 7SJ66 CVE-2019-12260 9.1 Non spécifié par l’éditeur 14/11/2023 Pas d’information CERTFR-2023-AVI-0935 https://cert-portal.siemens.com/productcert/html/ssa-617233.html

Siemens SIPROTEC 4 7SJ66 CVE-2019-12262 9.1 Contournement de la politique de sécurité 14/11/2023 Pas d’information CERTFR-2023-AVI-0935 https://cert-portal.siemens.com/productcert/html/ssa-617233.html

Siemens SCALANCE CVE-2023-44373 9.1 Exécution de code arbitraire à distance 14/11/2023 Pas d’information CERTFR-2023-AVI-0935 https://cert-portal.siemens.com/productcert/html/ssa-699386.html

VMware VMware Cloud Director Appliance CVE-2023-34060 9.8 Contournement de la politique de sécurité 14/11/2023 Pas d’information CERTFR-2023-AVI-0936 https://www.vmware.com/security/advisories/VMSA-2023-0026.html

Adobe ColdFusion 2023, ColdFusion 2021 CVE-2023-44350 9.1 Exécution de code arbitraire à distance 14/11/2023 Pas d’information CERTFR-2023-AVI-0939 https://helpx.adobe.com/security/products/coldfusion/apsb23-52.html

Adobe ColdFusion 2023, ColdFusion 2021 CVE-2023-44351 9.8 Exécution de code arbitraire à distance 14/11/2023 Pas d’information CERTFR-2023-AVI-0939 https://helpx.adobe.com/security/products/coldfusion/apsb23-52.html

Aruba ArubaOS, InstantOS CVE-2023-45614 9.8 Exécution de code arbitraire à distance 14/11/2023 Pas d’information CERTFR-2023-AVI-0941 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-017.txt

Aruba ArubaOS, InstantOS CVE-2023-45615 9.8 Exécution de code arbitraire à distance 14/11/2023 Pas d’information CERTFR-2023-AVI-0941 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-017.txt

Aruba ArubaOS, InstantOS CVE-2023-45616 9.8 Exécution de code arbitraire à distance 14/11/2023 Pas d’information CERTFR-2023-AVI-0941 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-017.txt

SAP Veuillez-vous référer à l’avis éditeur CVE-2023-40309 9.8 Élévation de privilèges 14/11/2023 Pas d’information CERTFR-2023-AVI-0942 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1

SAP SAP Business One CVE-2023-31403 9.6 Contournement de la politique de sécurité 14/11/2023 Pas d’information CERTFR-2023-AVI-0942 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1

Microsoft Windows SmartScreen CVE-2023-36025 8.8 Contournement de la politique de sécurité 14/11/2023 Exploitée CERTFR-2023-AVI-0944 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36025

Microsoft Windows Cloud Files Mini Filter Driver CVE-2023-36036 7.8 Élévation de privilèges 14/11/2023 Exploitée CERTFR-2023-AVI-0944 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36036

Microsoft Windows HMAC Key Derivation CVE-2023-36400 8.8 Élévation de privilèges 14/11/2023 Pas d’information CERTFR-2023-AVI-0944 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36400

Microsoft Windows PGM CVE-2023-36397 9.8 Exécution de code arbitraire à distance 14/11/2023 Pas d’information CERTFR-2023-AVI-0944 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36397

Microsoft Windows (Desktop Windows Manager) DWM Core Library CVE-2023-36033 7.8 Élévation de privilèges 14/11/2023 Exploitée CERTFR-2023-AVI-0944 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36033

Microsoft Open Management Infrastructure CVE-2023-36043 6.5 Atteinte à la confidentialité des données 14/11/2023 Pas d’information CERTFR-2023-AVI-0947 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36043

Microsoft Azure CLI REST Command CVE-2023-36052 8.6 Atteinte à la confidentialité des données 14/11/2023 Pas d’information CERTFR-2023-AVI-0947 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36052

Progress WS_FTP CVE-2023-42659 9.1 Contournement de la politique de sécurité 07/11/2023 Pas d’information CERTFR-2023-AVI-0952 https://community.progress.com/s/article/WS-FTP-Server-Service-Pack-November-2023

Elasticsearch Kibana CVE-2023-46671 9.0 Atteinte à la confidentialité des données 14/11/2023 Pas d’information CERTFR-2023-AVI-0937 https://discuss.elastic.co/t/8-11-1-7-17-15-security-update-esa-2023-25/347149

Rappel des avis émis

Editeur	Produit	Identifiant CVE	Score CVSSv3	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Siemens	COMOS	CVE-2023-43505	9.6	Contournement de la politique de sécurité	14/11/2023	Pas d’information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-137900.html
Siemens	COMOS	CVE-2023-46601	9.6	Exécution de code arbitraire à distance	14/11/2023	Pas d’information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-137900.html
Siemens	COMOS	CVE-2023-43504	9.6	Exécution de code arbitraire à distance	14/11/2023	Pas d’information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-137900.html
Siemens	COMOS	CVE-2020-25020	9.8	Exécution de code arbitraire à distance	14/11/2023	Pas d’information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-137900.html
Siemens	Desigo CC	CVE-2021-20093	9.1	Atteinte à la confidentialité des données	14/11/2023	Pas d’information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-625850.html
Siemens	SIMATIC MV500	CVE-2022-23218	9.8	Exécution de code arbitraire à distance, Déni de service à distance	14/11/2023	Pas d’information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-099606.html
Siemens	SIMATIC MV500	CVE-2022-23219	9.8	Exécution de code arbitraire à distance, Déni de service à distance	14/11/2023	Pas d’information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-099606.html
Siemens	SIPROTEC 4 7SJ66	CVE-2019-12255	9.1	Non spécifié par l’éditeur	14/11/2023	Pas d’information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-617233.html
Siemens	SIPROTEC 4 7SJ66	CVE-2019-12256	9.1	Non spécifié par l’éditeur	14/11/2023	Pas d’information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-617233.html
Siemens	SIPROTEC 4 7SJ66	CVE-2019-12260	9.1	Non spécifié par l’éditeur	14/11/2023	Pas d’information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-617233.html
Siemens	SIPROTEC 4 7SJ66	CVE-2019-12262	9.1	Contournement de la politique de sécurité	14/11/2023	Pas d’information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-617233.html
Siemens	SCALANCE	CVE-2023-44373	9.1	Exécution de code arbitraire à distance	14/11/2023	Pas d’information	CERTFR-2023-AVI-0935	https://cert-portal.siemens.com/productcert/html/ssa-699386.html
VMware	VMware Cloud Director Appliance	CVE-2023-34060	9.8	Contournement de la politique de sécurité	14/11/2023	Pas d’information	CERTFR-2023-AVI-0936	https://www.vmware.com/security/advisories/VMSA-2023-0026.html
Adobe	ColdFusion 2023, ColdFusion 2021	CVE-2023-44350	9.1	Exécution de code arbitraire à distance	14/11/2023	Pas d’information	CERTFR-2023-AVI-0939	https://helpx.adobe.com/security/products/coldfusion/apsb23-52.html
Adobe	ColdFusion 2023, ColdFusion 2021	CVE-2023-44351	9.8	Exécution de code arbitraire à distance	14/11/2023	Pas d’information	CERTFR-2023-AVI-0939	https://helpx.adobe.com/security/products/coldfusion/apsb23-52.html
Aruba	ArubaOS, InstantOS	CVE-2023-45614	9.8	Exécution de code arbitraire à distance	14/11/2023	Pas d’information	CERTFR-2023-AVI-0941	https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-017.txt
Aruba	ArubaOS, InstantOS	CVE-2023-45615	9.8	Exécution de code arbitraire à distance	14/11/2023	Pas d’information	CERTFR-2023-AVI-0941	https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-017.txt
Aruba	ArubaOS, InstantOS	CVE-2023-45616	9.8	Exécution de code arbitraire à distance	14/11/2023	Pas d’information	CERTFR-2023-AVI-0941	https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-017.txt
SAP	Veuillez-vous référer à l’avis éditeur	CVE-2023-40309	9.8	Élévation de privilèges	14/11/2023	Pas d’information	CERTFR-2023-AVI-0942	https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
SAP	SAP Business One	CVE-2023-31403	9.6	Contournement de la politique de sécurité	14/11/2023	Pas d’information	CERTFR-2023-AVI-0942	https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
Microsoft	Windows SmartScreen	CVE-2023-36025	8.8	Contournement de la politique de sécurité	14/11/2023	Exploitée	CERTFR-2023-AVI-0944	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36025
Microsoft	Windows Cloud Files Mini Filter Driver	CVE-2023-36036	7.8	Élévation de privilèges	14/11/2023	Exploitée	CERTFR-2023-AVI-0944	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36036
Microsoft	Windows HMAC Key Derivation	CVE-2023-36400	8.8	Élévation de privilèges	14/11/2023	Pas d’information	CERTFR-2023-AVI-0944	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36400
Microsoft	Windows PGM	CVE-2023-36397	9.8	Exécution de code arbitraire à distance	14/11/2023	Pas d’information	CERTFR-2023-AVI-0944	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36397
Microsoft	Windows (Desktop Windows Manager) DWM Core Library	CVE-2023-36033	7.8	Élévation de privilèges	14/11/2023	Exploitée	CERTFR-2023-AVI-0944	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36033
Microsoft	Open Management Infrastructure	CVE-2023-36043	6.5	Atteinte à la confidentialité des données	14/11/2023	Pas d’information	CERTFR-2023-AVI-0947	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36043
Microsoft	Azure CLI REST Command	CVE-2023-36052	8.6	Atteinte à la confidentialité des données	14/11/2023	Pas d’information	CERTFR-2023-AVI-0947	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36052
Progress	WS_FTP	CVE-2023-42659	9.1	Contournement de la politique de sécurité	07/11/2023	Pas d’information	CERTFR-2023-AVI-0952	https://community.progress.com/s/article/WS-FTP-Server-Service-Pack-November-2023
Elasticsearch	Kibana	CVE-2023-46671	9.0	Atteinte à la confidentialité des données	14/11/2023	Pas d’information	CERTFR-2023-AVI-0937	https://discuss.elastic.co/t/8-11-1-7-17-15-security-update-esa-2023-25/347149

Source : Bulletin d’actualité CERTFR-2023-ACT-050

Alertes sécurité du CERT – 20/11/2023 – Risques Cyber de la semaine : Siemens – VMware – Adobe – Aruba – SAP – Microsoft – Progress – Elasticsearch

TABLEAU RÉCAPITULATIF :

Recherche

Catégories