Alertes sécurité du CERT – 27/03/23 : Risques Cyber de la semaine : Microsoft – Adobe – Siemens – IBM – Aruba – SAP – Schneider Electric

Veuillez trouver le bulletin d’actualité du CERT du 21 mars reprenant :

Vulnérabilités significatives de la semaine 11

TABLEAU RÉCAPITULATIF :

Vulnérabilités critiques du 13/03/23 au 19/03/23

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur

Microsoft Microsoft Outlook, Microsoft Office, Microsoft 365 Apps pour Entreprise CVE-2023-23397 9.8 Élévation de privilèges 14/03/2023 Exploitée CERTFR-2023-AVI-0234 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

Microsoft Windows 11, Windows Server CVE-2023-23392 9.8 Exécution de code arbitraire à distance 14/03/2023 Pas d’information CERTFR-2023-AVI-0232 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23392

Microsoft Windows 10, Windows 11, Windows Server CVE-2023-21708 9.8 Exécution de code arbitraire à distance 14/03/2023 Pas d’information CERTFR-2023-AVI-0232 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21708

Microsoft Windows 10, Windows 11, Windows Server CVE-2023-23415 9.8 Exécution de code arbitraire à distance 14/03/2023 Pas d’information CERTFR-2023-AVI-0232 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23415

Adobe ColdFusion 2018, ColdFusion 2021 CVE-2023-26359 9.8 Exécution de code arbitraire à distance 14/03/2023 Pas d’information CERTFR-2023-AVI-0227 https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html

Adobe ColdFusion 2018, ColdFusion 2021 CVE-2023-26360 8.6 Exécution de code arbitraire à distance 14/03/2023 Exploitée CERTFR-2023-AVI-0227 https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html

Aruba ClearPass Policy Manager CVE-2023-25589 9.8 Contournement de la politique de sécurité 14/03/2023 Pas d’information CERTFR-2023-AVI-0226 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-003.txt

Siemens SCALANCE CVE-2022-32207 9.8 Contournement de la politique de sécurité 14/03/2023 Pas d’information CERTFR-2023-AVI-0220 https://cert-portal.siemens.com/productcert/html/ssa-419740.html

Siemens Mendix SAML CVE-2023-25957 9.1 Contournement de la politique de sécurité 14/03/2023 Pas d’information CERTFR-2023-AVI-0220 https://cert-portal.siemens.com/productcert/html/ssa-851884.html

Siemens SCALANCE CVE-2022-0547 9.8 Contournement de la politique de sécurité 14/03/2023 Pas d’information CERTFR-2023-AVI-0220 https://cert-portal.siemens.com/productcert/html/ssa-419740.html

IBM Sterling B2B Integrator CVE-2021-23450 9.8 Exécution de code arbitraire à distance 08/03/2023 Pas d’information CERTFR-2023-AVI-0238 https://www.ibm.com/support/pages/node/6963652

IBM Cognos Analytics CVE-2021-3711 9.8 Élévation de privilèges 10/03/2023 Pas d’information CERTFR-2023-AVI-0214 https://www.ibm.com/support/pages/node/6828527

SAP Business Objects CVE-2023-25617 9.0 Exécution de code arbitraire à distance 14/03/2023 Pas d’information CERTFR-2023-AVI-0228 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1

SAP NetWeaver Application Server pour ABAP et ABAP Platform CVE-2023-27269 9.6 Atteinte à l’intégrité et à la confidentialité des données 14/03/2023 Pas d’information CERTFR-2023-AVI-0228 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1

SAP Business Objects Business Intelligence Platform CVE-2023-25616 9.9 Exécution de code arbitraire à distance 14/03/2023 Pas d’information CERTFR-2023-AVI-0228 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1

SAP NetWeaver AS pour ABAP et ABAP Platform CVE-2023-27500 9.6 Atteinte à l’intégrité et à la confidentialité des données 14/03/2023 Pas d’information CERTFR-2023-AVI-0228 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1

SAP NetWeaver AS for Java CVE-2023-23857 9.9 Contournement de la politique de sécurité 14/03/2023 Pas d’information CERTFR-2023-AVI-0228 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1

Schneider Electric Schneider Electric PowerLogic HDPM6000 CVE-2023-28004 9.8 Exécution de code arbitraire à distance et déni de service à distance 14/03/2023 Pas d’information CERTFR-2023-AVI-0218 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-073-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-073-02.pdf

Tenable Nessus, tenable.io et tenable.sc CVE-2022-4313 9.1 Exécution de code arbitraire à distance 13/03/2023 Pas d’information CERTFR-2023-AVI-0216 https://www.tenable.com/security/tns-2023-14

CVE-2023-27898 : Multiples Vulnérabilités dans les produits MICROSOFT CONCERNANT RPC

Rappel des avis émis

Editeur	Produit	Identifiant CVE	Score CVSSv3	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Microsoft	Microsoft Outlook, Microsoft Office, Microsoft 365 Apps pour Entreprise	CVE-2023-23397	9.8	Élévation de privilèges	14/03/2023	Exploitée	CERTFR-2023-AVI-0234	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
Microsoft	Windows 11, Windows Server	CVE-2023-23392	9.8	Exécution de code arbitraire à distance	14/03/2023	Pas d’information	CERTFR-2023-AVI-0232	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23392
Microsoft	Windows 10, Windows 11, Windows Server	CVE-2023-21708	9.8	Exécution de code arbitraire à distance	14/03/2023	Pas d’information	CERTFR-2023-AVI-0232	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21708
Microsoft	Windows 10, Windows 11, Windows Server	CVE-2023-23415	9.8	Exécution de code arbitraire à distance	14/03/2023	Pas d’information	CERTFR-2023-AVI-0232	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23415
Adobe	ColdFusion 2018, ColdFusion 2021	CVE-2023-26359	9.8	Exécution de code arbitraire à distance	14/03/2023	Pas d’information	CERTFR-2023-AVI-0227	https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html
Adobe	ColdFusion 2018, ColdFusion 2021	CVE-2023-26360	8.6	Exécution de code arbitraire à distance	14/03/2023	Exploitée	CERTFR-2023-AVI-0227	https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html
Aruba	ClearPass Policy Manager	CVE-2023-25589	9.8	Contournement de la politique de sécurité	14/03/2023	Pas d’information	CERTFR-2023-AVI-0226	https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-003.txt
Siemens	SCALANCE	CVE-2022-32207	9.8	Contournement de la politique de sécurité	14/03/2023	Pas d’information	CERTFR-2023-AVI-0220	https://cert-portal.siemens.com/productcert/html/ssa-419740.html
Siemens	Mendix SAML	CVE-2023-25957	9.1	Contournement de la politique de sécurité	14/03/2023	Pas d’information	CERTFR-2023-AVI-0220	https://cert-portal.siemens.com/productcert/html/ssa-851884.html
Siemens	SCALANCE	CVE-2022-0547	9.8	Contournement de la politique de sécurité	14/03/2023	Pas d’information	CERTFR-2023-AVI-0220	https://cert-portal.siemens.com/productcert/html/ssa-419740.html
IBM	Sterling B2B Integrator	CVE-2021-23450	9.8	Exécution de code arbitraire à distance	08/03/2023	Pas d’information	CERTFR-2023-AVI-0238	https://www.ibm.com/support/pages/node/6963652
IBM	Cognos Analytics	CVE-2021-3711	9.8	Élévation de privilèges	10/03/2023	Pas d’information	CERTFR-2023-AVI-0214	https://www.ibm.com/support/pages/node/6828527
SAP	Business Objects	CVE-2023-25617	9.0	Exécution de code arbitraire à distance	14/03/2023	Pas d’information	CERTFR-2023-AVI-0228	https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
SAP	NetWeaver Application Server pour ABAP et ABAP Platform	CVE-2023-27269	9.6	Atteinte à l’intégrité et à la confidentialité des données	14/03/2023	Pas d’information	CERTFR-2023-AVI-0228	https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
SAP	Business Objects Business Intelligence Platform	CVE-2023-25616	9.9	Exécution de code arbitraire à distance	14/03/2023	Pas d’information	CERTFR-2023-AVI-0228	https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
SAP	NetWeaver AS pour ABAP et ABAP Platform	CVE-2023-27500	9.6	Atteinte à l’intégrité et à la confidentialité des données	14/03/2023	Pas d’information	CERTFR-2023-AVI-0228	https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
SAP	NetWeaver AS for Java	CVE-2023-23857	9.9	Contournement de la politique de sécurité	14/03/2023	Pas d’information	CERTFR-2023-AVI-0228	https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
Schneider Electric	Schneider Electric PowerLogic HDPM6000	CVE-2023-28004	9.8	Exécution de code arbitraire à distance et déni de service à distance	14/03/2023	Pas d’information	CERTFR-2023-AVI-0218	https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-073-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-073-02.pdf
Tenable	Nessus, tenable.io et tenable.sc	CVE-2022-4313	9.1	Exécution de code arbitraire à distance	13/03/2023	Pas d’information	CERTFR-2023-AVI-0216	https://www.tenable.com/security/tns-2023-14

Source : Bulletin d’actualité CERTFR-2023-ACT-013

Alertes sécurité du CERT – 27/03/23 : Risques Cyber de la semaine : Microsoft – Adobe – Siemens – IBM – Aruba – SAP – Schneider Electric – Tenable

TABLEAU RÉCAPITULATIF :

Rappel des avis émis

Recherche

Catégories