n8n est une plateforme d'automatisation de workflows open source. Les versions à partir de 1.65.0 et jusqu'à 1.121.0 présentent une vulnérabilité qui permet à un attaquant d'accéder aux fichiers sur le serveur sous-jacent via l'exécution de certains workflows basés sur des formulaires.

Détails de la vulnérabilité :

• Accès non authentifié : Un attaquant potentiel peut accéder à des informations sensibles sans nécessiter d'authentification.
• Exposition d'informations sensibles : Cela peut mener à la divulgation de données confidentielles stockées sur le système.
• Compromission supplémentaire : La configuration de déploiement et l'utilisation des workflows peuvent permettre une compromission plus poussée.

Corrections :

• Ce problème est corrigé dans la version 1.121.0.

Acronymes :

• RCE (Remote Code Execution) : Exécution de code à distance, permettant à un attaquant de prendre le contrôle du système.
• SSRF (Server-Side Request Forgery) : Manipulation des requêtes effectuées par le serveur, permettant d'accéder à des ressources internes.
• XSS (Cross-Site Scripting) : Injection de scripts malveillants dans des pages web vues par d'autres utilisateurs.

Recommandation : Mettre à jour vers la version 1.121.0 pour corriger cette vulnérabilité.

Le logiciel telnetd de GNU Inetutils, jusqu'à la version 2.7, présente une vulnérabilité permettant de contourner l'authentification à distance. Cela est possible grâce à l'utilisation de la variable d'environnement USER avec la valeur "-f root".

Détails de la vulnérabilité :

• CVE : Non spécifié, mais cette vulnérabilité doit être recherchée dans les bases de données de sécurité pour un identifiant CVE spécifique.
• Type de vulnérabilité : Contournement de l'authentification.

Explication des termes :

• telnetd : Service qui permet aux utilisateurs de se connecter à des systèmes distants via le protocole Telnet.
• GNU Inetutils : Ensemble d'outils de réseau qui inclut des services tels que telnet, ftp, etc.
• « -f root » : Cette option permet de forcer l'utilisateur à se connecter avec les privilèges de l'utilisateur root, contournant ainsi les vérifications d'authentification normales.

Implications :

• Les attaquants peuvent potentiellement accéder à des systèmes critiques sans avoir à fournir des informations d'authentification valides.
• Il est recommandé de mettre à jour vers une version plus récente de GNU Inetutils pour se protéger contre cette vulnérabilité.

Analyse de la vulnérabilité

Contexte : Une faiblesse a été identifiée dans Microsoft Office, qui repose sur des entrées non fiables lors de la prise de décision sécuritaire.

Détails de la vulnérabilité :

• Type de vulnérabilité : Cette vulnérabilité permet à un attaquant non autorisé de contourner une fonctionnalité de sécurité sur l'appareil local.
• Concrètement : En exploitant cette faiblesse, un attaquant pourrait accéder à des fonctionnalités ou des données sensibles sans autorisation.

Concepts clés :

• Entrées non fiables : Ce sont des données reçues qui ne sont pas vérifiées pour leur fiabilité ou leur sécurité. Des attaquants peuvent manipuler ces entrées.
• Bypass (contournement) de sécurité : Cela signifie que la protection prévue par le logiciel peut être évitée, laissant des failles exploitables.

Implications :

• Les utilisateurs de Microsoft Office doivent être vigilants, car cette vulnérabilité pourrait exposer leurs données à des risques non négligeables.
• Recommandation : Mettre à jour régulièrement Microsoft Office pour s'assurer de bénéficier des derniers correctifs de sécurité.

En résumé : Cette vulnérabilité dans Microsoft Office, liée à des entrées non fiables, permet à un attaquant de contourner les protections de sécurité.

Vulnérabilité de Sécurité dans React Server Components

Une vulnérabilité de pré-authentification de type exécution de code à distance (RCE) existe dans les versions suivantes de React Server Components :

• 19.0.0
• 19.1.0
• 19.1.1
• 19.2.0

Cette vulnérabilité concerne également les paquets suivants :

• react-server-dom-parcel
• react-server-dom-turbopack
• react-server-dom-webpack

Détails de la vulnérabilité

• RCE (Remote Code Execution) : Permet à un attaquant d'exécuter du code malveillant sur un serveur distant.
• Le code vulnérable désérialise de manière non sécurisée les données (payloads) provenant des requêtes HTTP vers des points de terminaison de fonctions serveur.

Implications

La désérialisation non sécurisée peut permettre à un attaquant d'envoyer des données malicieuses, compromettant ainsi la sécurité de l'application et potentiellement le serveur. Il est recommandé de mettre à jour vers une version sécurisée de React Server Components pour éviter cette vulnérabilité.

Vulnérabilité de traversée de chemin dans WinRAR

Une vulnérabilité de traversée de chemin affecte la version Windows de WinRAR. Cette vulnérabilité permet aux attaquants d'exécuter du code arbitraire en créant des fichiers d'archive malveillants.

Détails :

• Traversée de chemin : Technique utilisée pour accéder à des fichiers ou répertoires en dehors des répertoires autorisés.
• Exécution de code arbitraire : Se réfère à la capacité d'un attaquant d'exécuter des commandes malveillantes sur un système cible.
• Équipe ayant découvert la vulnérabilité : Anton Cherepanov, Peter Košinár et Peter Strýček de ESET.

Contexte :

• Cette vulnérabilité a été exploitée dans la nature, ce qui signifie qu'elle a été utilisée par de véritables cybercriminels pour attaquer des systèmes.
• Les utilisateurs de WinRAR devraient mettre à jour leur logiciel pour se protéger contre cette menace.

Recommandations :

• Mettre à jour WinRAR vers la dernière version (si une mise à jour est disponible).
• Éviter d'ouvrir des fichiers d'archive provenant de sources non fiables.

Restez vigilant et protégez vos systèmes !

Vulnérabilité de Contournement d'Authentification via un Chemin ou Canal Alternatif

• Type de vulnérabilité : Contournement d'authentification [CWE-288].
• Produits concernés :
• Fortinet FortiAnalyzer : versions 7.6.0 à 7.6.5, 7.4.0 à 7.4.9, 7.2.0 à 7.2.11, 7.0.0 à 7.0.15.
• FortiManager : versions 7.6.0 à 7.6.5, 7.4.0 à 7.4.9, 7.2.0 à 7.2.11, 7.0.0 à 7.0.15.
• FortiOS : versions 7.6.0 à 7.6.5, 7.4.0 à 7.4.10, 7.2.0 à 7.2.12, 7.0.0 à 7.0.18.
• FortiProxy : versions 7.6.0 à 7.6.4, 7.4.0 à 7.4.12, 7.2.0 à 7.2.15, 7.0.0 à 7.0.22.
• FortiWeb : versions 8.0.0 à 8.0.3, 7.6.0 à 7.6.6, 7.4.0 à 7.4.11.

Description de la vulnérabilité

• Cette vulnérabilité permettrait à un attaquant possédant un compte FortiCloud et un appareil enregistré de se connecter à d'autres dispositifs enregistrés sous d'autres comptes si l'authentification SSO (Single Sign-On) était activée sur ces dispositifs.
• Cela signifie que la sécurité d'accès entre les appareils pourrait être compromise, permettant un accès non autorisé.

Acronymes

• CWE : Common Weakness Enumeration, une classification des faiblesses de sécurité.
• SSO : Single Sign-On, un mécanisme d'authentification permettant d'accéder à plusieurs applications avec un seul ensemble d'identifiants.

Recommandations

• Mettez à jour vos appareils Fortinet vers des versions corrigées immédiatement pour réduire le risque de cette vulnérabilité.

Vulnérabilité dans les produits Cisco

Une vulnérabilité a été identifiée dans plusieurs produits Cisco : - Cisco Unified Communications Manager (Unified CM) - Cisco Unified Communications Manager Session Management Edition (Unified CM SME) - Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P) - Cisco Unity Connection - Cisco Webex Calling Dedicated Instance

Détails de la vulnérabilité

• Nature de la vulnérabilité : Permet à un attaquant distant non authentifié d'exécuter des commandes arbitraires sur le système d'exploitation sous-jacent de l'appareil affecté.
• Cause : Validation incorrecte des entrées fournies par l'utilisateur dans les requêtes HTTP.
• Méthode d'exploitation : En envoyant une série de requêtes HTTP spécialement conçues à l'interface de gestion web de l'appareil affecté.

Conséquences

• Un exploit réussi pourrait permettre à l'attaquant d'obtenir un accès au niveau utilisateur sur le système d'exploitation.
• Accès potentiel à des privilèges root (contrôle total du système).

Note de sécurité

• Cisco a classé cette vulnérabilité avec un Security Impact Rating (SIR) de Critique, en précisant que l'exploitation peut mener à une élévation de privilèges à root, plutôt que d'être jugée simplement Élevée.

Vulnérabilité dans MongoDB

Une vulnérabilité a été identifiée dans le protocole compressé Zlib, entraînant des champs de longueur incompatibles. Cela peut permettre à un client non authentifié d'accéder à de la mémoire non initialisée sur le tas (heap).

Détails de la vulnérabilité :

• Protocole concerné : Zlib
• Type d'accès : Lecture de mémoire non initialisée
• Impact : Potentiel accès à des informations sensibles par un utilisateur non autorisé

Versions affectées de MongoDB Server :

• v7.0 : Toutes les versions avant 7.0.28
• v8.0 : Toutes les versions avant 8.0.17
• v8.2 : Toutes les versions avant 8.2.3
• v6.0 : Toutes les versions avant 6.0.27
• v5.0 : Toutes les versions avant 5.0.32
• v4.4 : Toutes les versions avant 4.4.30
• v4.2 : Versions ≥ 4.2.0
• v4.0 : Versions ≥ 4.0.0
• v3.6 : Versions ≥ 3.6.0

Termes techniques :

• RCE : Exécution de code à distance
• SSRF : Attaque de type Server-Side Request Forgery
• XSS : Exécution de scripts inter-sites

Il est recommandé aux utilisateurs de mettre à jour leur instance MongoDB vers les versions patchées pour éviter cette vulnérabilité.

Traduction et Explication

• Injection de code dans Ivanti Endpoint Manager Mobile : Cette vulnérabilité permet à un attaquant d'injecter du code malveillant dans le système.

• Exécution de code à distance (RCE) : Cela signifie qu'un attaquant peut exécuter du code arbitraire sur le système de la victime sans avoir besoin d'être authentifié. Cela peut mener à des compromissions sérieuses, comme le vol de données ou la prise de contrôle de l'appareil.

Détails supplémentaires

• Ivanti Endpoint Manager Mobile est un produit de gestion des appareils mobiles qui aide les entreprises à sécuriser et gérer leurs appareils.

• Les injections de code peuvent se produire à travers diverses méthodes, telles que des attaques de types SQL Injection, Command Injection**, etc.

Impact

• Cette vulnérabilité pourrait permettre à un attaquant de contourner les mesures de sécurité habituelles et de prendre contrôle des systèmes affectés, entrainant des pertes de données ou des atteintes à la vie privée.

En résumé, il est essentiel pour les utilisateurs de Ivanti Endpoint Manager Mobile de mettre à jour leurs systèmes pour se prémunir contre cette vulnérabilité d'injection de code.

Le routeur ZyXEL P660HN-T1A v1 avec le firmware TCLinux $7.3.15.0 v001 / 3.40(ULM.0)b31, distribué par TrueOnline, présente une vulnérabilité d'injection de commandes. Cette vulnérabilité se situe dans la fonction de transfert des journaux système à distance, accessible par un utilisateur non authentifié.

Détails de la vulnérabilité :

• Type de vulnérabilité : Injection de commandes (Command Injection).
• Page affectée : ViewLog.asp.
• Paramètre exploitable : remote_host.

Explications des termes :

• Injection de commandes : Permet à un attaquant d'exécuter des commandes système sur le serveur.
• Utilisateur non authentifié : Un attaquant n'a pas besoin de fournir d'identifiants pour exploiter cette vulnérabilité.
• Remote System Log forwarding : Fonction qui permet d’envoyer les journaux système à un serveur distant.

Cette vulnérabilité peut permettre à un attaquant de compromettre le routeur en envoyant des commandes malveillantes via le paramètre mentionné. Il est crucial de corriger cette vulnérabilité pour éviter d'éventuelles exploitations.

Le routeur D-Link DIR-645 (version Ax) avec le firmware 1.04b12 et les versions antérieures permet à des attaquants distants d'exécuter des commandes arbitraires via une action GetDeviceSettings sur l'interface HNAP.

Explications des termes :

• Firmware : Le logiciel intégré qui contrôle le matériel d'un appareil.
• GetDeviceSettings : Une action dans l'interface qui permet d'accéder aux paramètres du dispositif.
• HNAP (Home Network Administration Protocol) : Un protocole utilisé pour gérer les appareils réseau à distance.

Vulnérabilités concernées :

• RCE (Remote Code Execution) : C'est une vulnérabilité qui permet à un attaquant d'exécuter du code malveillant sur un système à distance.
• Commandes arbitraires : Cela désigne des instructions non autorisées pouvant potentiellement compromettre la sécurité de l'appareil ou du réseau.

Risques :

• Compromission de la sécurité du réseau domestique.
• Accès non autorisé aux données ou aux réglages du routeur.

Recommandation :

• Mettre à jour le firmware vers une version supérieure à 1.04b12 pour corriger cette vulnérabilité.

Vulnérabilité sur les routeurs domestiques Dasan GPON

Une vulnérabilité a été découverte sur les routeurs domestiques Dasan GPON. Voici les détails :

• Type de vulnérabilité : Injection de commande.
• Facilité d'exploitation : Un attaquant peut exploiter cette vulnérabilité en utilisant le paramètre dest_host dans une requête diag_action=ping à l'URI GponForm/diag_Form.
• Stockage des résultats : Les résultats des pings sont sauvegardés dans le répertoire /tmp. Lorsqu'un utilisateur accède à /diag.html, ces résultats sont transmis à l'utilisateur.

Implications :

Cela permet à un attaquant de : - Exécuter des commandes sur le routeur. - Récupérer la sortie de ces commandes.

Acronymes utiles :

• RCE (Remote Code Execution) : Exécution de code à distance, ce qui permet à un attaquant d'exécuter des commandes sur un système sans y avoir un accès physique.
• SSRF (Server-Side Request Forgery) : Technique où un attaquant envoie des requêtes depuis un serveur vulnérable vers d'autres serveurs.
• XSS (Cross-Site Scripting) : Injection de scripts malveillants dans des pages web consultées par d'autres utilisateurs.

Conclusion :

Les utilisateurs de ces routeurs doivent être conscients de cette vulnérabilité et envisager des mesures de sécurité supplémentaires, notamment des mises à jour de leur firmware.

Problème de sécurité dans HPE OneView

Un problème de Remote Code Execution (RCE) existe dans HPE OneView. Cela signifie qu'un attaquant peut exécuter du code malveillant à distance sur le système vulnérable.

Détails du problème :

• Produit concerné : HPE OneView.
• Type de vulnérabilité : Exécution de code à distance, qui permet à un individu malveillant de compromettre le système sans accès physique.

Conséquences possibles :

• Compromission du système : Un attaquant pourrait prendre le contrôle de l'appareil, acceder à des données sensibles ou perturber son fonctionnement.

Recommandations :

• Mettre à jour immédiatement HPE OneView à la dernière version fournie par le fabricant, afin de corriger cette vulnérabilité.
• Surveiller les activités suspectes sur les systèmes utilisant HPE OneView, jusqu'à ce que le correctif soit appliqué.

Acronymes :

• RCE (Remote Code Execution) : Exécution de code à distance, permettant à un attaquant d'exécuter des commandes sur le système ciblé.

Il est crucial d'agir rapidement pour éviter des impacts potentiels sur la sécurité de l'infrastructure concernée.

Une injection de code dans Ivanti Endpoint Manager Mobile permet aux attaquants d'exécuter du code à distance de manière non authentifiée.

Explications :

• Injection de code : C'est une technique où un attaquant insère du code malveillant dans une application, détournant ainsi son fonctionnement.
• Ivanti Endpoint Manager Mobile : Un produit de gestion des terminaux mobiles.

Risque :

• RCE (Remote Code Execution) : Cela signifie que l'attaquant peut exécuter des commandes arbitraires sur le système cible, sans avoir besoin d'identifiants d'accès. Cela pose un risque majeur, car l'attaquant peut compromette la sécurité et l'intégrité des données.

Conclusion :

La vulnérabilité identifiée dans Ivanti Endpoint Manager Mobile expose les systèmes à des attaques graves, soulignant l'importance des mises à jour et des correctifs de sécurité pour protéger les données et les infrastructures des entreprises.

Vulnérabilité dans Fortinet FortiSIEM

Une vulnérabilité a été identifiée dans Fortinet FortiSIEM à cause d'une mauvaise neutralisation des éléments spéciaux utilisés dans une commande de système d'exploitation, communément appelée injection de commande OS. Cette vulnérabilité est classée sous le code CVE (Common Vulnerabilities and Exposures) et permettrait à un attaquant d'exécuter du code ou des commandes non autorisées via des requêtes TCP malveillantes.

Versions concernées :

• FortiSIEM 7.4.0
• FortiSIEM 7.3.0 à 7.3.4
• FortiSIEM 7.1.0 à 7.1.8
• FortiSIEM 7.0.0 à 7.0.4
• FortiSIEM 6.7.0 à 6.7.10

Points clés :

• Injection de commande OS : Technique où un attaquant insère des commandes dans une application, pouvant ainsi contrôler le système.
• TCP (Transmission Control Protocol) : Protocole de communication utilisé pour établir des connexions fiables sur Internet.

Il est crucial que les utilisateurs de ces versions effectuent les mises à jour nécessaires pour se protéger contre cette vulnérabilité.

Vulnérabilité NETGEAR DGN1000

Le routeur NETGEAR DGN1000, avant la version 1.1.00.48, présente une vulnérabilité d'escalade des privilèges appelée bypass d'authentification. Voici les détails :

• Type de vulnérabilité : Bypass d'authentification
• Impact : Un attaquant distant et non authentifié peut exécuter des commandes arbitraires du système d'exploitation avec des privilèges root en envoyant des requêtes HTTP malveillantes vers le point de terminaison setup.cgi.
• Exploitation : Cette vulnérabilité est exploitée activement depuis au moins 2017. Elle a été observée dans la nature par la Shadowserver Foundation le 6 février 2025 (UTC).

Acronymes

• RCE (Remote Code Execution) : Exécution de code à distance.
• SSRF (Server-Side Request Forgery) : Falsification de requête côté serveur.
• XSS (Cross-Site Scripting) : Script intersite, permettant l'injection de scripts dans les pages web.

Action recommandée

Les utilisateurs de ce modèle de routeur sont fortement encouragés à mettre à jour leur firmware vers une version plus récente pour corriger cette vulnérabilité.

Traduction et explication

L'exposition d'informations sensibles à un acteur non autorisé dans le Desktop Windows Manager permet à un attaquant autorisé de divulguer des informations localement.

Explications des termes clés :

• Desktop Windows Manager : Composant de Windows chargé de la gestion de l'affichage des fenêtres sur le bureau.

• Atteinte à la sécurité : Cela signifie que des informations qui devraient rester privées peuvent être accessibles par une personne non autorisée.

• Attaquant autorisé : Un utilisateur qui a des accès légitimes au système mais qui abuse de ceux-ci pour obtenir des informations sensibles.

Risques associés :

• Cette vulnérabilité permettrait à cet attaquant de divulguer des informations, ce qui pourrait conduire à d'autres attaques ou à la compromission de la sécurité des données.

Points à retenir :

• Protéger le Desktop Windows Manager est crucial pour éviter la fuite d'informations sensibles.
• La vigilance est nécessaire pour surveiller les comportements des utilisateurs autorisés afin d'éviter les abus.

Résumé de la vulnérabilité

Une insuffisance de validation des entrées peut entraîner un lecteur de mémoire excessif (memory overread) lorsque le NetScaler est configuré en tant que :

• Passerelle (Gateway) (serveur virtuel VPN, ICA Proxy, CVPN, RDP Proxy)
• Serveur virtuel AAA (Authentication, Authorization and Accounting)

Détails

• Insuffisance de validation des entrées : Cela signifie que le système ne vérifie pas correctement les données d'entrée fournies par les utilisateurs, ce qui peut permettre à un attaquant d'exploiter cette faiblesse.
• Memory overread : Ce phénomène se produit lorsque le système lit plus de données de mémoire que prévu. Cela peut exposer des informations sensibles et causer des fuites de données.

Contexte

Le NetScaler est utilisé pour des fonctions de mise en réseau avancées, comme le VPN, et la gestion des accès. La vulnérabilité peut potentiellement affecter un grand nombre d'utilisateurs si elle n’est pas corrigée.

Importance

Il est crucial d'appliquer des mises à jour de sécurité et de renforcer la validation des entrées pour protéger les systèmes contre les attaques qui exploitent ce type de vulnérabilité.

Une vulnérabilité d'injection de commande OS existe dans des DVR sous marque blanche fabriqués par TVT. Cette vulnérabilité affecte un service HTTP personnalisé appelé "Cross Web Server", qui écoute sur les ports TCP 81 et 82.

Le problème provient de l'interface web qui ne sanitize pas (ne filtre pas correctement) l'entrée dans le chemin URI utilisée pour la fonctionnalité d'extraction de langue. Lorsqu'une requête est traitée pour /language/[lang]/index.html, l'entrée [lang] est utilisée de manière non sécurisée dans une commande d'extraction tar sans échappement approprié.

Cela permet à un attaquant distant non authentifié d'injecter des commandes shell et d'exécuter des commandes arbitraires avec des privilèges root.

La fondation Shadowserver a observé des preuves d'exploitation de cette vulnérabilité le 6 février 2025 (UTC).

Acronymes : - RCE : Remote Code Execution (Exécution de code à distance) - SSRF : Server-Side Request Forgery (Usurpation de requête côté serveur) - XSS : Cross-Site Scripting (Script intersite)

Cette vulnérabilité pose des risques importants pour la sécurité des systèmes concernés.

Une exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant non authentifié de télécharger des fichiers arbitraires vers n'importe quel emplacement sur le serveur de messagerie. Cela pourrait potentiellement ouvrir la voie à une exécution de code à distance (RCE).

Explications des termes :

• Exécution de code à distance (RCE) : Cela signifie qu'un attaquant peut exécuter du code malveillant sur un serveur ou un système à distance, ce qui peut compromettre la sécurité de l'ensemble du système.

• Attaquant non authentifié : Une personne qui tente de pénétrer un système sans avoir fourni d'identifiants ou de preuves d'identité.

• Téléchargement de fichiers : Cela fait référence à la capacité d'envoyer des fichiers depuis un ordinateur local vers un serveur, ce qui peut être utilisé pour introduire des malwares ou d'autres fichiers nuisibles.

Risques possibles :

• Compromission du serveur : En téléchargeant des fichiers malveillants, l'attaquant peut prendre le contrôle du serveur.
• Exfiltration de données : Des informations sensibles peuvent être volées ou supprimées.

Il est crucial de mettre en place des mesures de sécurité adéquates pour prévenir de telles attaques.