🪲 Semaine 6 — CVE les plus discutées

Traduction et explication

La dépendance à des entrées non fiables dans la prise de décision de sécurité au sein de Microsoft Office permet à un attaquant non autorisé de contourner une fonctionnalité de sécurité localement.

Explications des termes :

• Entrées non fiables : Cela fait référence à des données ou des informations qui proviennent de sources non vérifiées ou potentiellement malveillantes. S'appuyer sur ces entrées peut mener à des failles de sécurité.

• Contournement de fonctionnalité de sécurité : L'attaquant peut exploiter cette faille pour éviter les protections mises en place, pouvant ainsi exécuter des actions non autorisées.

Importance de ce problème :

• Cette vulnérabilité souligne l'importance de valider et de filtrer correctement toutes les entrées avant de les utiliser dans des décisions de sécurité.

• Cela illustre également le besoin de mises à jour régulières des logiciels pour corriger les failles et améliorer la sécurité générale.

Pour assurer la sécurité, il est recommandé de toujours utiliser des logiciels à jour et de sensibiliser les utilisateurs aux risques associés aux entrées non vérifiées.

n8n est une plateforme open source d'automatisation de flux de travail. Avant les versions 1.123.17 et 2.5.2, un utilisateur authentifié ayant le droit de créer ou modifier des workflows pouvait exploiter des expressions malveillantes dans les paramètres des workflows pour déclencher l'exécution de commandes système non intentionnelles sur le serveur exécutant n8n.

Détails du problème :

• CVE (Common Vulnerabilities and Exposures) : une référence pour identifier les vulnérabilités.
• RCE (Remote Code Execution) : exécution de code à distance, permettant à un attaquant d'exécuter des commandes sur un système cible.

Risque :

• Un utilisateur malveillant pouvait abuser de la fonction de création/modification de workflows pour exécuter des commandes non autorisées sur le système.

Solutions :

• Cette vulnérabilité a été corrigée dans les versions 1.123.17 et 2.5.2. Il est donc recommandé de mettre à jour vers ces versions pour éviter d'éventuels abus de sécurité.

Analyse de sécurité du produit SolarWinds Web Help Desk

• Vulnérabilité identifiée : Une vulnérabilité de désérialisation de données non fiables a été découverte dans SolarWinds Web Help Desk.
• Impact potentiel : Cette vulnérabilité peut permettre une exécution de code à distance (RCE). Cela signifie qu'un attaquant pourrait exécuter des commandes à distance sur la machine hôte, compromettant ainsi la sécurité du système.
• Authentification non requise : Cette faille peut être exploitée sans authentification, ce qui augmente le risque, car un attaquant n'a pas besoin de credentials (informations d'identification) pour accéder au système.

Acronymes expliqués : - RCE : Exécution de Code à Distance – permet à un attaquant d'exécuter des code malveillant sur un système cible.

Cette vulnérabilité souligne l'importance de sécuriser les applications pour empêcher les attaques exploitant des données non fiables. Les utilisateurs de SolarWinds Web Help Desk doivent appliquer des correctifs ou des mises à jour de sécurité pour mitiger ce risque.

Une injection de code dans Ivanti Endpoint Manager Mobile permet aux attaquants d'obtenir une exécution de code à distance (RCE) non authentifiée. Voici quelques explications :

• Injection de code : Cela se produit lorsque des données malveillantes sont insérées dans une application, ce qui lui permet d'exécuter des instructions non prévues par l'utilisateur.
• Ivanti Endpoint Manager Mobile : Un produit de gestion des appareils mobiles qui aide les entreprises à sécuriser et à gérer leurs appareils mobiles.
• Exécution de code à distance (RCE) : Cela signifie qu'un attaquant peut exécuter des commandes sur un système distant sans avoir besoin d'une authentification ou d'un accès valide, ce qui peut entraîner un contrôle total du dispositif ciblé.

Les vulnérabilités de ce type peuvent être critiques, car elles permettent aux cybercriminels de compromettre des systèmes sans aucune vérification d'identité. Il est essentiel de rester informé sur les mises à jour de sécurité pour réduire les risques.

Le serveur de développement Metro, lancé par le React Native Community CLI, est par défaut lié à des interfaces externes. Il expose un point d'accès vulnérable à l'injection de commandes système.

Voici les détails de cette vulnérabilité :

• CVE : Non spécifiée, mais la nature de la vulnérabilité est cruciale.
• Type de vulnérabilité : Injection de commandes (OS command injection), permettant à un attaquant d'exécuter des commandes sur le système d'exploitation.

Implications :

• Accès non authentifié : Les attaquants peuvent envoyer des requêtes POST au serveur sans avoir besoin de s'authentifier.
• Exécution arbitraire : Cela permet de lancer des exécutables non autorisés sur le serveur.
• Sur Windows : Les attaquants peuvent également exécuter des commandes shell avec des arguments qu'ils contrôlent complètement.

Résumé :

Cette faille expose le serveur à des attaques sérieuses, rendant la sécurité du système compromise. Il est essentiel de restreindre l'accès à ce serveur et de mettre en place des mesures de protection adéquates.

Une vulnérabilité d'exécution de code à distance (RCE) pré-authentification existe dans les versions 19.0.0, 19.1.0, 19.1.1, et 19.2.0 des React Server Components. Les paquets concernés incluent :

• react-server-dom-parcel
• react-server-dom-turbopack
• react-server-dom-webpack

Détails de la vulnérabilité

• RCE (Remote Code Execution) : Cela signifie qu'un attaquant peut exécuter du code malveillant sur le serveur sans avoir besoin d'être authentifié.
• Le code vulnérable désérialise de manière non sécurisée des données provenant des requêtes HTTP destinées aux Server Function endpoints. Cela permet à un attaquant d'envoyer des données malicieuses, pouvant entraîner une prise de contrôle du serveur.

Implications

Les développeurs utilisant ces versions des React Server Components doivent mettre à jour vers une version corrigée afin de protéger leurs applications contre cette faille. Ne pas le faire expose leurs serveurs à des exploits potentiels.

Une vulnérabilité de path traversal (traversée de répertoire) affectant la version Windows de WinRAR permet aux attaquants d'exécuter du code arbitraire en créant des fichiers d'archive malveillants. Voici quelques points importants :

• Vulnérabilité : "Path traversal" permet aux attaquants d'accéder à des fichiers et répertoires en dehors des chemins autorisés.
• Exécution de code arbitraire : Cela signifie que les attaquants peuvent exécuter n'importe quel programme ou commande sur la machine ciblée, ce qui peut avoir de graves conséquences.
• Exploitée dans la nature : Cela indique que des attaquants ont déjà utilisé cette vulnérabilité pour compromettre des systèmes.
• Découverte : Cette vulnérabilité a été identifiée par Anton Cherepanov, Peter Košinár, et Peter Strýček de ESET, une entreprise spécialisée dans la sécurité informatique.

Il est crucial de mettre à jour WinRAR pour se protéger contre cette vulnérabilité, afin de prévenir d'éventuelles attaques.

OpenClaw (également connu sous le nom de clawdbot ou Moltbot), dans les versions inférieures à 2026.1.29, présente une vulnérabilité liée à la façon dont il gère les connexions. Voici les points clés :

• Récupération de gatewayUrl : OpenClaw obtient une valeur gatewayUrl à partir d'une chaîne de requête (query string), qui est souvent utilisée pour passer des paramètres dans les URLs.

• Connexion WebSocket automatique : Une fois la valeur gatewayUrl récupérée, OpenClaw établit automatiquement une connexion WebSocket (un protocole permettant une communication bidirectionnelle entre un serveur et un client) sans demander la confirmation de l'utilisateur.

• Envoi de token : Cette connexion automatique envoie également un token, qui est une valeur utilisée pour l'authentification ou l'autorisation.

Implications

Cette vulnérabilité pourrait être exploitée pour des attaques telles que :

• RCE (Remote Code Execution) : Exécution de code à distance sur le système ciblé.
• SSRF (Server-Side Request Forgery) : Permet à un hacker d'interagir avec des systèmes internes en abusant du serveur.
• XSS (Cross-Site Scripting) : Injection de scripts malveillants dans des pages web, affectant les utilisateurs.

Il est essentiel de mettre à jour OpenClaw vers la version 2026.1.29 ou supérieure pour éviter de telles vulnérabilités.

Vulnérabilité de SmarterMail

Les versions de SmarterMail antérieures à la version 9511 présentent une vulnérabilité d'exécution de code à distance non authentifiée dans la méthode ConnectToHub API. Voici les points essentiels à retenir :

• RCE (Remote Code Execution) : Capacité pour un attaquant d’exécuter des commandes malveillantes sur un serveur à distance, sans avoir besoin de s'authentifier.
• L'attaquant peut diriger SmarterMail vers un serveur HTTP malicieux, qui délivre une commande malveillante.
• Cette commande malveillante sera alors exécutée par l'application vulnérable, ce qui permet à l'attaquant de compromettre le système.

Conclusion : Il est crucial pour les utilisateurs de SmarterMail de mettre à jour vers au moins la version 9511 afin de se protéger contre cette menace.

Une vulnérabilité de sécurité a été découverte dans ingress-nginx. Voici les détails importants :

• Champ concerné : rules.http.paths.path dans la configuration Ingress.
• Type de vulnérabilité : Cela peut être utilisé pour injecter des configurations dans nginx.
• Conséquence : Cet exploit pourrait entraîner une exécution de code arbitraire (RCE) dans le contexte du contrôleur ingress-nginx. Cela signifie qu'un attaquant pourrait exécuter des commandes non autorisées.
• Risques additionnels : Il pourrait également permettre la divulgation de Secrets accessibles au contrôleur. À noter que dans une installation par défaut, le contrôleur a accès à tous les Secrets à l'échelle du cluster.

Acronymes :

• RCE (Remote Code Execution) : Exécution de codes à distance, permettant à un attaquant de contrôler un système.
• Secrets : Informations sensibles telles que des mots de passe, des jetons d'authentification, etc., stockées dans le cluster.

Cette vulnérabilité souligne l'importance de sécuriser la configuration d'ingress-nginx pour éviter des compromissions sérieuses.

Le D-Link DIR-645 (Routeur filaire/sans fil Rev. Ax) avec le firmware 1.04b12 et les versions antérieures présente une vulnérabilité importante. Cette faille permet à des attaquants distants d'exécuter des commandes arbitraires.

Détails de la vulnérabilité :

• Type de vulnérabilité : Exécution de commandes à distance (RCE - Remote Code Execution).
• Méthode d'attaque : Les attaquants exploitent une action appelée GetDeviceSettings dans l'interface HNAP (Home Network Administration Protocol).

Implications :

• Les attaquants peuvent potentiellement prendre le contrôle du routeur, ce qui peut entraîner des conséquences graves pour la sécurité du réseau.

Recommandations :

• Mettre à jour le firmware du routeur à une version plus récente pour corriger cette vulnérabilité.
• Vérifier les configurations de sécurité pour réduire le risque d'attaques.

Notes sur les acronymes :

• RCE : Exécution de commandes à distance.
• HNAP : Protocole d'administration de réseau domestique.

Prenez les mesures nécessaires pour sécuriser vos appareils.

Le routeur ZyXEL P660HN-T1A v1 fonctionnant avec le firmware TCLinux version $7.3.15.0 v001 / 3.40(ULM.0)b31, distribué par TrueOnline, présente une vulnérabilité d'injection de commandes. Cette vulnérabilité se trouve dans la fonction de transmission de journaux système à distance, accessible par un utilisateur non authentifié.

Détails de la vulnérabilité :

• Injection de commandes : Cette faille permet à un attaquant d'envoyer des commandes malveillantes au routeur.

• Accès non authentifié : L'utilisateur n'a pas besoin de se connecter pour exploiter cette vulnérabilité.

• Page concernée : La vulnérabilité se situe sur la page ViewLog.asp, qui peut être manipulée grâce au paramètre remote_host.

Acronymes :

• RCE (Remote Code Execution) : Exécution de code à distance. L'attaquant peut exécuter des commandes sur le système ciblé.

• SSRF (Server-Side Request Forgery) : Une attaque où le serveur fait des requêtes vers d'autres services internes ou externes à l'insu de l'administrateur.

• XSS (Cross-Site Scripting) : Une faille permettant d'injecter du code JavaScript dans des pages web, affectant potentiellement d'autres utilisateurs.

Il est crucial de mettre à jour le firmware ou d'implementer des mesures de sécurité pour combler cette vulnérabilité.