Alertes sécurité du CERT – 22/04/2024 - Risques Cyber de la semaine : Oracle – CISCO

Veuillez trouver le bulletin d’actualité du CERT du 22 avril reprenant :

Vulnérabilités significatives de la semaine 16

TABLEAU RÉCAPITULATIF :

Vulnérabilités critiques du 15/04/24 au 21/04/24

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur

Oracle Oracle WebLogic Server CVE-2021-23369 9.8 Exécution de code arbitraire à distance 18/04/2024 Pas d’information CERTFR-2024-AVI-0323 https://www.oracle.com/security-alerts/cpuapr2024verbose.html

Oracle WebLogic Server, PeopleSoft Enterprise HCM Global Payroll, Oracle Solaris Cluster, Oracle StorageTek Tape Analytics CVE-2022-42920 9.8 Exécution de code arbitraire à distance 18/04/2024 Pas d’information CERTFR-2024-AVI-0324 https://www.oracle.com/security-alerts/cpuapr2024verbose.html

Oracle PeopleSoft Enterprise PeopleTools CVE-2023-38545 9.8 Non spécifié par l’éditeur 18/04/2024 Pas d’information CERTFR-2024-AVI-0325 https://www.oracle.com/security-alerts/cpuapr2024verbose.html

Oracle Oracle StorageTek Tape Analytics CVE-2022-34381 9.8 Exécution de code arbitraire à distance 18/04/2024 Pas d’information CERTFR-2024-AVI-0324 https://www.oracle.com/security-alerts/cpuapr2024verbose.html

Oracle Oracle StorageTek Tape Analytics CVE-2020-35168 9.8 Exécution de code arbitraire à distance 18/04/2024 Pas d’information CERTFR-2024-AVI-0324 https://www.oracle.com/security-alerts/cpuapr2024verbose.html

Cisco Cisco Integrated Management Controller CVE-2024-20295 8.8 Contournement de la politique de sécurité 18/04/2024 Preuve de concept disponible CERTFR-2024-AVI-0319 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-cmd-inj-mUx4c5AJ

Cisco Cisco Integrated Management Controller CVE-2024-20356 8.7 Contournement de la politique de sécurité 18/04/2024 Preuve de concept disponible CERTFR-2024-AVI-0319 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-cmd-inj-mUx4c5AJ

IBM Qradar Analyst Workflow CVE-2023-42282 9.8 Exécution de code arbitraire à distance 19/04/2024 Pas d’information CERTFR-2024-AVI-0330 https://www.ibm.com/support/pages/node/7148190

Ivanti Avalanche CVE-2024-29204 9.8 Exécution de code arbitraire à distance 17/04/2024 Preuve de concept disponible CERTFR-2024-AVI-0314 https://forums.ivanti.com/s/article/Avalanche-6-4-3-Security-Hardening-and-CVEs-addressed?language=en_US

Ivanti Avalanche CVE-2024-24996 9.8 Exécution de code arbitraire à distance 17/04/2024 Pas d’information CERTFR-2024-AVI-0314 https://forums.ivanti.com/s/article/Avalanche-6-4-3-Security-Hardening-and-CVEs-addressed?language=en_US

Autres Vulnérabilités

CVE-2024-31497 : Vulnérabilité dans PUTTY

Vulnérabilité dans CRUSHFTP

Rappel des avis émis

Editeur	Produit	Identifiant CVE	Score CVSSv3	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Oracle	Oracle WebLogic Server	CVE-2021-23369	9.8	Exécution de code arbitraire à distance	18/04/2024	Pas d’information	CERTFR-2024-AVI-0323	https://www.oracle.com/security-alerts/cpuapr2024verbose.html
Oracle	WebLogic Server, PeopleSoft Enterprise HCM Global Payroll, Oracle Solaris Cluster, Oracle StorageTek Tape Analytics	CVE-2022-42920	9.8	Exécution de code arbitraire à distance	18/04/2024	Pas d’information	CERTFR-2024-AVI-0324	https://www.oracle.com/security-alerts/cpuapr2024verbose.html
Oracle	PeopleSoft Enterprise PeopleTools	CVE-2023-38545	9.8	Non spécifié par l’éditeur	18/04/2024	Pas d’information	CERTFR-2024-AVI-0325	https://www.oracle.com/security-alerts/cpuapr2024verbose.html
Oracle	Oracle StorageTek Tape Analytics	CVE-2022-34381	9.8	Exécution de code arbitraire à distance	18/04/2024	Pas d’information	CERTFR-2024-AVI-0324	https://www.oracle.com/security-alerts/cpuapr2024verbose.html
Oracle	Oracle StorageTek Tape Analytics	CVE-2020-35168	9.8	Exécution de code arbitraire à distance	18/04/2024	Pas d’information	CERTFR-2024-AVI-0324	https://www.oracle.com/security-alerts/cpuapr2024verbose.html
Cisco	Cisco Integrated Management Controller	CVE-2024-20295	8.8	Contournement de la politique de sécurité	18/04/2024	Preuve de concept disponible	CERTFR-2024-AVI-0319	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-cmd-inj-mUx4c5AJ
Cisco	Cisco Integrated Management Controller	CVE-2024-20356	8.7	Contournement de la politique de sécurité	18/04/2024	Preuve de concept disponible	CERTFR-2024-AVI-0319	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-cmd-inj-mUx4c5AJ
IBM	Qradar Analyst Workflow	CVE-2023-42282	9.8	Exécution de code arbitraire à distance	19/04/2024	Pas d’information	CERTFR-2024-AVI-0330	https://www.ibm.com/support/pages/node/7148190
Ivanti	Avalanche	CVE-2024-29204	9.8	Exécution de code arbitraire à distance	17/04/2024	Preuve de concept disponible	CERTFR-2024-AVI-0314	https://forums.ivanti.com/s/article/Avalanche-6-4-3-Security-Hardening-and-CVEs-addressed?language=en_US
Ivanti	Avalanche	CVE-2024-24996	9.8	Exécution de code arbitraire à distance	17/04/2024	Pas d’information	CERTFR-2024-AVI-0314	https://forums.ivanti.com/s/article/Avalanche-6-4-3-Security-Hardening-and-CVEs-addressed?language=en_US

Source : Bulletin d’actualité CERTFR-2023-ACT-018

Alertes sécurité du CERT – 22/04/2024 – Risques Cyber de la semaine : Oracle – CISCO – IBM – Ivanti

TABLEAU RÉCAPITULATIF :

Recherche

Catégories