Alertes sécurité du CERT – 18/03/2024 - Risques Cyber de la semaine : IBM – FORTINET – MITEL – MICROSOFT – SAP – SIEMENS

Veuillez trouver le bulletin d’actualité du CERT du 18 mars reprenant :

Vulnérabilités significatives de la semaine 11

TABLEAU RÉCAPITULATIF :

Vulnérabilités critiques du 11/03/24 au 17/03/24

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur

IBM QRadar SIEM (Apache Derby) CVE-2022-46337 9.1 Exécution de code arbitraire à distance, Contournement de la politique de sécurité 15/03/2024 Pas d’information CERTFR-2024-AVI-0228 https://www.ibm.com/support/pages/node/7140420

Mitel CMG, InAttend CVE-2024-28815 9.8 Exécution de code arbitraire à distance, Contournement de la politique de sécurité 13/03/2024 Pas d’information CERTFR-2024-AVI-0219 https://www.mitel.com/-/media/mitel/file/pdf/support/security-advisories/security-bulletin_24-0003-001-v1.pdf

Fortinet FortiClientEMS CVE-2023-48788 9.8 Exécution de code arbitraire à distance 14/03/2024 Pas d’information CERTFR-2024-AVI-0212 https://www.fortiguard.com/psirt/FG-IR-24-007

Fortinet FortiOS, FortiProxy CVE-2023-42789 9.8 Exécution de code arbitraire à distance 12/03/2024 Pas d’information CERTFR-2024-AVI-0212 https://www.fortiguard.com/psirt/FG-IR-23-328

Microsoft OMI, SCOM CVE-2024-21334 9.8 Exécution de code arbitraire à distance 14/03/2024 Pas d’information CERTFR-2024-AVI-0208 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21334

Microsoft Azure Kubernetes Service Confidential Containers CVE-2024-21400 9.8 Élévation de privilèges 12/03/2024 Pas d’information CERTFR-2024-AVI-0207 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21400

SAP NetWeaver Administrator CVE-2024-22127 9.1 Exécution de code arbitraire à distance 13/03/2024 Pas d’information CERTFR-2024-AVI-0209 https://me.sap.com/notes/3433192

Siemens Cerberus, Sinteso CVE-2024-22039 10 Exécution de code arbitraire à distance 12/03/2024 Pas d’information CERTFR-2024-AVI-0203 https://cert-portal.siemens.com/productcert/html/ssa-225840.html

Schneider Electric Easergy T200 CVE-2024-2051 9.8 Contournement de la politique de sécurité 12/03/2024 Pas d’information CERTFR-2024-AVI-0202 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-072-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-072-01.pdf

QNAP QTS, QuTScloud CVE-2024-21899 9.8 Exécution de code arbitraire à distance 11/03/2024 Pas d’information CERTFR-2024-AVI-0201 https://www.qnap.com/fr-fr/security-advisory/qsa-24-09

Autres Vulnérabilités

CVE-2024-23334 : Vulnérabilité dans La BIBLIOTHEQUE AIOHTP

Rappel des avis émis

Editeur	Produit	Identifiant CVE	Score CVSSv3	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
IBM	QRadar SIEM (Apache Derby)	CVE-2022-46337	9.1	Exécution de code arbitraire à distance, Contournement de la politique de sécurité	15/03/2024	Pas d’information	CERTFR-2024-AVI-0228	https://www.ibm.com/support/pages/node/7140420
Mitel	CMG, InAttend	CVE-2024-28815	9.8	Exécution de code arbitraire à distance, Contournement de la politique de sécurité	13/03/2024	Pas d’information	CERTFR-2024-AVI-0219	https://www.mitel.com/-/media/mitel/file/pdf/support/security-advisories/security-bulletin_24-0003-001-v1.pdf
Fortinet	FortiClientEMS	CVE-2023-48788	9.8	Exécution de code arbitraire à distance	14/03/2024	Pas d’information	CERTFR-2024-AVI-0212	https://www.fortiguard.com/psirt/FG-IR-24-007
Fortinet	FortiOS, FortiProxy	CVE-2023-42789	9.8	Exécution de code arbitraire à distance	12/03/2024	Pas d’information	CERTFR-2024-AVI-0212	https://www.fortiguard.com/psirt/FG-IR-23-328
Microsoft	OMI, SCOM	CVE-2024-21334	9.8	Exécution de code arbitraire à distance	14/03/2024	Pas d’information	CERTFR-2024-AVI-0208	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21334
Microsoft	Azure Kubernetes Service Confidential Containers	CVE-2024-21400	9.8	Élévation de privilèges	12/03/2024	Pas d’information	CERTFR-2024-AVI-0207	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21400
SAP	NetWeaver Administrator	CVE-2024-22127	9.1	Exécution de code arbitraire à distance	13/03/2024	Pas d’information	CERTFR-2024-AVI-0209	https://me.sap.com/notes/3433192
Siemens	Cerberus, Sinteso	CVE-2024-22039	10	Exécution de code arbitraire à distance	12/03/2024	Pas d’information	CERTFR-2024-AVI-0203	https://cert-portal.siemens.com/productcert/html/ssa-225840.html
Schneider Electric	Easergy T200	CVE-2024-2051	9.8	Contournement de la politique de sécurité	12/03/2024	Pas d’information	CERTFR-2024-AVI-0202	https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-072-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-072-01.pdf
QNAP	QTS, QuTScloud	CVE-2024-21899	9.8	Exécution de code arbitraire à distance	11/03/2024	Pas d’information	CERTFR-2024-AVI-0201	https://www.qnap.com/fr-fr/security-advisory/qsa-24-09

Source : Bulletin d’actualité CERTFR-2023-ACT-013

Alertes sécurité du CERT – 18/03/2024 – Risques Cyber de la semaine : IBM – FORTINET – MITEL – MICROSOFT – SAP – SIEMENS – Schneider Electric – QNAP

TABLEAU RÉCAPITULATIF :

Recherche

Catégories