Une vulnérabilité de contrôle d'accès inapproprié dans Fortinet FortiClientEMS versions 7.4.5 à 7.4.6 pourrait permettre à un attaquant non authentifié d'exécuter du code ou des commandes non autorisés via des requêtes élaborées.

Points clés :

• Vulnérabilité de contrôle d'accès : Cela signifie que le système ne vérifie pas correctement les permissions d'accès, ce qui peut laisser la porte ouverte à des attaques.
• Fortinet FortiClientEMS : C'est un logiciel de gestion de la sécurité des endpoints, utilisé pour protéger les réseaux contre diverses menaces.
• Attaquant non authentifié : Il s'agit d'un individu qui n'a pas besoin de s'identifier (se connecter) pour exploiter la vulnérabilité, rendant l'attaque plus simple.
• Exécution de code non autorisé : Cela fait référence à la possibilité de faire exécuter des commandes ou des scripts malveillants sur le système ciblé, ce qui peut entraîner des compromissions graves.

Conclusion : Cette vulnérabilité souligne l'importance d'un contrôle d'accès rigoureux dans les systèmes de gestion de sécurité pour prévenir des exploitations malveillantes.

Next.js est un framework React pour construire des applications web complètes. À partir de la version 10.0.0 jusqu'à la version 16.1.7, le système de cache par défaut pour l'optimisation des images (/_next/image) ne fixait pas de limite supérieure configurable, permettant ainsi une croissance illimitée du cache.

Un attaquant pouvait générer de nombreuses variantes d’optimisation d’images uniques, saturant ainsi l’espace disque et entraînant un déni de service (DoS).

Cette vulnérabilité a été corrigée dans la version 16.1.7 grâce à l'ajout d'un cache sur disque basé sur LRU (Least Recently Used) avec l'option images.maximumDiskCacheSize, qui élimine les entrées les moins récemment utilisées lorsque la limite est atteinte.

Pour désactiver le cache disque, il suffit de régler maximumDiskCacheSize à 0. Si la mise à jour n'est pas possible immédiatement, il est conseillé de :

• Nettoyer périodiquement le dossier .next/cache/images.
• Réduire la cardinalité des variantes (par exemple, ajuster les valeurs pour images.localPatterns, images.remotePatterns, et images.qualities).

Cette approche limitera l'impact sur l'espace disque.

Vulnérabilité dans Acrobat Reader :

• Produits concernés : Acrobat Reader versions 24.001.30356, 26.001.21367 et antérieures.
• Type de vulnérabilité : Modifications non contrôlées des attributs de prototype d'objet (appelée Prototype Pollution).
• Impact : Cette vulnérabilité pourrait permettre l'exécution de code arbitraire, ce qui signifie que des attaquants pourraient exécuter n'importe quel code dans le contexte de l'utilisateur actuel.
• Conditions d'exploitation : Pour exploiter cette vulnérabilité, une interaction utilisateur est nécessaire. La victime doit ouvrir un fichier malveillant.

Explications des termes :

• Prototype Pollution : Une technique où un attaquant peut modifier les objets de base d'une application, pouvant entraîner des comportements imprévus.
• Exécution de code arbitraire (RCE) : Cela permet à un attaquant d'exécuter des commandes malveillantes sur le système de la victime.

Recommandation : Il est conseillé de mettre à jour vers les versions les plus récentes d'Acrobat Reader pour pallier cette vulnérabilité.

Marimo est un notebook Python réactif. Avant la version 0.23.0, une vulnérabilité de type RCE (Remote Code Execution) pré-authentifiée a été découverte.

Détails de la vulnérabilité :

• Point d'accès vulnérable : Le point d'accès WebSocket /terminal/ws ne vérifie pas l'authentification.
• Conséquence : Un attaquant non authentifié peut obtenir un PTY shell complet et exécuter des commandes système arbitraires.
• Comparaison : Contrairement à d'autres points d'accès WebSocket (comme /ws) qui appellent correctement la fonction validate_auth() pour l'authentification, le point d'accès /terminal/ws ne fait que vérifier le mode de fonctionnement et la prise en charge de la plateforme avant d'accepter les connexions, totalement en ignorant la vérification d'authentification.

Solution :

• Cette vulnérabilité a été corrigée dans la version 0.23.0 de Marimo.

Remarques :

• PTY shell : Un shell qui permet l'interaction avec le système d'exploitation.
• Il est crucial de toujours mettre à jour les logiciels pour éviter les exploitations de vulnérabilités.

Une vulnérabilité de Remote Code Execution (RCE) pré-authentification existe dans les versions 19.0.0, 19.1.0, 19.1.1 et 19.2.0 de React Server Components. Cette vulnérabilité affecte également les paquets suivants :

• react-server-dom-parcel
• react-server-dom-turbopack
• react-server-dom-webpack

Explication de la vulnérabilité :

• Cette vulnérabilité permet à un attaquant d'exécuter du code à distance sur le serveur, avant même qu'une authentification ne soit requise.
• Le code vulnérable désérialise de manière non sécurisée des charges utiles (payloads) provenant de requêtes HTTP vers des points de terminaison des Server Functions.
• La désérialisation se réfère au processus de conversion d'un format de donnée (comme une chaîne) en un objet utilisable en mémoire, mais si ce processus n'est pas sécurisé, il peut être exploité pour exécuter des commandes malveillantes.

Implications :

• Cette faille pourrait permettre à un attaquant de compromettre le serveur en exploitant des entrées malveillantes.
• Il est crucial pour les utilisateurs de ces versions de React de mettre à jour vers des versions sécurisées afin de prévenir toute exploitation.

Moby est un cadre de conteneurs open source. Avant la version 29.3.1, une vulnérabilité de sécurité a été détectée, permettant aux attaquants de contourner les plugins d'autorisation (AuthZ).

Détails concernant la vulnérabilité :

• Produits concernés : Moby (toutes les versions antérieures à 29.3.1)
• Type de vulnérabilité : Contournement de l'authentification

Explications des acronymes :

• AuthZ : Abréviation de "authorization", se réfère aux mécanismes qui contrôlent les permissions d'accès d'un utilisateur ou d'un composant au sein d'un système.

Solution :

• Cette vulnérabilité a été corrigée dans la version 29.3.1 de Moby. Il est donc conseillé de mettre à jour vers cette version pour garantir la sécurité de votre environnement.

Voici la traduction et l'explication demandées :

Une vulnérabilité de Validation des Entrées Incorrecte et de Contrôle Inapproprié de la Génération de Code (aussi appelée Injection de Code) a été découverte dans Apache ActiveMQ Broker et Apache ActiveMQ.

Détails : - Apache ActiveMQ Classic expose le pont JMX-HTTP (JMX : Java Management Extensions) Jolokia à l'URL /api/jolokia/ sur la console web. - Par défaut, la politique d'accès de Jolokia permet d'effectuer des opérations exec sur tous les MBeans ActiveMQ (ex : org.apache.activemq:), y compris des fonctionnalités critiques comme BrokerService.addNetworkConnector(String) et BrokerService.addConnector(String). - Un attaquant authentifié peut invoquer ces opérations en utilisant une URI de découverte manipulée. Cela déclenche un chargement d'un contexte d'application Spring XML distant, permettant l'exécution de code arbitraire sur la JVM du broker via des méthodes du bean factory* comme Runtime.exec().

Versions affectées : - Apache ActiveMQ Broker : avant 5.19.4, de 6.0.0 avant 6.2.3. - Apache ActiveMQ All : idem. - Apache ActiveMQ : idem.

Recommandation : - Il est conseillé aux utilisateurs de mettre à jour vers la version 5.19.4 ou 6.2.3, qui corrigent ce problème.

Si tu as besoin d'autres informations, n'hésite pas !

Analyse de la vulnérabilité de Flowise

Flowise est une interface utilisateur de type drag & drop pour créer des flux de modèles linguistiques personnalisés. Dans la version 3.0.5, Flowise présente une vulnérabilité de remote code execution (RCE), c'est-à-dire une faille qui permet à un attaquant d'exécuter du code malveillant à distance.

Détails de la vulnérabilité :

• Le nœud CustomMCP permet aux utilisateurs de saisir des paramètres de configuration pour se connecter à un serveur MCP (Model Control Protocol) externe.
• Ce nœud analyse la chaîne mcpServerConfig fournie par l'utilisateur pour construire la configuration du serveur MCP.
• Problème principal : Lors de ce processus, le code JavaScript fourni par l'utilisateur est exécuté sans validation de sécurité.
• Dans la fonction convertToValidJSONString, l'entrée de l'utilisateur est directement transmise au constructeur Function(), ce qui permet d'évaluer et d'exécuter le code comme s'il s'agissait de JavaScript valide.

Risques encourus :

• Étant donné que cette exécution se fait avec des privilèges complets du runtime Node.js, il est possible d'accéder à des modules sensibles, tels que child_process et fs, qui permettent d'exécuter des commandes système et de manipuler le système de fichiers.

Solution :

• Ce problème a été corrigé dans la version 3.0.6 de Flowise.

Il est conseillé aux utilisateurs d'appliquer cette mise à jour afin de se protéger contre cette vulnérabilité critique.

Traduction et explication

• Injection de code : Il s'agit d'une vulnérabilité permettant à un attaquant d'introduire et d'exécuter du code malveillant dans une application.

• Ivanti Endpoint Manager Mobile : C'est un produit conçu pour gérer et sécuriser les appareils mobiles au sein d'une organisation.

• Exécution de code à distance non authentifiée (RCE) : Cela signifie que l'attaquant peut exécuter des commandes sur le système cible sans avoir à se connecter. Cette vulnérabilité est particulièrement dangereuse car elle ne nécessite pas d'authentification préalable.

Risques associés :

• L'attaquant pourrait prendre le contrôle de l'appareil ou accéder à des données sensibles.
• Il est essentiel pour les organisations utilisant Ivanti Endpoint Manager Mobile de mettre à jour leur logiciel pour corriger cette faille et éviter les exploits potentiels.

Recommandations :

• Vérifiez si votre version d'Ivanti Endpoint Manager Mobile est affectée par cette vulnérabilité.
• Appliquez les correctifs ou mises à jour recommandés par le fournisseur pour garantir la sécurité de vos systèmes.

Rester informé sur les CVE (Common Vulnerabilities and Exposures) est crucial pour maintenir un environnement sécurisé.

Insuffisance de validation des entrées dans NetScaler ADC et NetScaler Gateway lorsqu'ils sont configurés comme un IDP SAML (Fournisseur d'identité SAML), entraînant une lecture de mémoire excessive.

Détails :

• NetScaler ADC : Une plateforme de livraison d'applications qui optimise la performance des applications.
• NetScaler Gateway : Une solution qui permet l'accès sécurisé aux applications.
• SAML IDP : Un fournisseur d'identité qui utilise SAML (Security Assertion Markup Language) pour authentifier les utilisateurs.

Problème :

• La validation insuffisante des données d'entrée signifie que certaines entrées ne sont pas correctement examinées avant traitement, ce qui peut conduire à des problèmes de sécurité.

Risque :

• Lecture de mémoire excessive : Cela peut permettre à un attaquant d'accéder à des données sensibles dans la mémoire d'autres processus, compromettant ainsi la sécurité du système.

Recommandation :

• Mettre à jour les configurations de NetScaler ADC et NetScaler Gateway pour assurer une validation stricte des entrées afin de prévenir ces vulnérabilités.

Voici la traduction et explication en français :

Vulnérabilité "Use after free" dans Dawn de Google Chrome

Une vulnérabilité "use after free" dans le composant Dawn du navigateur Google Chrome, avant la version 146.0.7680.178, permettait à un attaquant distant, qui avait compromis le processus de rendu, d'exécuter du code arbitraire via une page HTML spécialement conçue.

Détails :

• Use after free : Cela se produit lorsqu'un programme continue à utiliser la mémoire qui a été libérée, ce qui peut entraîner des comportements imprévus, comme l'exécution de code malveillant.
• Attaquant distant : Une personne malveillante qui peut cibler un système à distance, sans accès physique.
• Processus de rendu : C'est la partie du navigateur qui interprète et affiche le contenu web.

Gravité :

• Gravité de sécurité Chromium : Élevée, indiquant que cette vulnérabilité pourrait permettre des attaques sérieuses si exploitée.

Cette vulnérabilité souligne l'importance de maintenir les logiciels à jour pour se protéger contre de telles menaces.

Le routeur ZyXEL P660HN-T1A v1 (Firmware TCLinux $7.3.15.0 v001 / 3.40(ULM.0)b31) distribué par TrueOnline présente une vulnérabilité d'injection de commandes dans la fonction de transfert des journaux système à distance. Voici les détails :

• Vulnérabilité : L'injection de commandes (Command Injection) permet à un attaquant d'exécuter des commandes arbitraires sur le système vulnérable.
• Accès : Cette vulnérabilité est accessible par un utilisateur non authentifié, ce qui signifie qu'aucune identification n'est requise pour exploiter le défaut.
• Page concernée : La vulnérabilité se trouve sur la page ViewLog.asp.
• Paramètre exploitable : Le paramètre remote_host peut être manipulé pour provoquer l'injection de commandes.

Acronymes utiles :

• RCE (Remote Code Execution) : Exécution de code à distance, permettant à un attaquant de lancer des programmes ou commandes sur le système.
• SSRF (Server-Side Request Forgery) : Manipulation d'un serveur pour faire des requêtes non autorisées.
• XSS (Cross-Site Scripting) : Insertion de scripts malveillants dans des pages web, affectant les utilisateurs.

En conclusion, cette vulnérabilité peut avoir de graves conséquences si elle est exploitée, permettant à un attaquant de compromettre le routeur et potentiellement le réseau associé.