🪲 Semaine 22 — CVE les plus discutées

Vulnérabilités de contournement d'authentification dans le portail et la passerelle GlobalProtect de Palo Alto Networks PAN-OS®

• Description : Des vulnérabilités permettent à un attaquant de contourner les restrictions de sécurité sur le portail et la passerelle GlobalProtect. Cela leur permet d'établir une connexion VPN non autorisée.

• Produits affectés : Seuls le portail et la passerelle GlobalProtect de PAN-OS® sont concernés. Panorama et Cloud NGFW (Next-Generation Firewall) ne sont pas impactés par ces problèmes.

• Conséquences possibles : Un contournement d'authentification peut permettre à un attaquant d'accéder au réseau interne sans autorisation, ce qui pose un risque de sécurité important.

Acronymes : - VPN : Réseau privé virtuel, qui crée une connexion sécurisée sur Internet. - PAN-OS® : Système d'exploitation de Palo Alto Networks pour ses firewall et services de sécurité.

Il est crucial que les utilisateurs de Palo Alto Networks mettent à jour leur logiciel afin de combler ces vulnérabilités et de renforcer ainsi leur sécurité réseau.

Ghost est un système de gestion de contenu basé sur Node.js. Les versions 3.24.0 à 6.19.0 présentent une vulnérabilité qui permet à des attaquants non authentifiés d'effectuer des lectures arbitraires à partir de la base de données. Ce problème a été corrigé dans la version 6.19.1.

Détails :

• Vulnérabilité : Lecture arbitraire de la base de données
• Versions concernées : 3.24.0 à 6.19.0
• Version corrigée : 6.19.1
• Impact : Les attaquants peuvent accéder à des informations sensibles stockées dans la base de données sans nécessiter d'authentification.

Acronymes :

• RCE : Remote Code Execution (Exécution de code à distance)
• SSRF : Server Side Request Forgery (Usurpation de requête côté serveur)
• XSS : Cross-Site Scripting (Script intersite)

Conseil : Il est recommandé de mettre à jour vers la version 6.19.1 pour protéger le système contre cette vulnérabilité.

Analyse de la Vulnérabilité

Vulnérabilité

• CVE : Identifiant de vulnérabilité non précisé ici.
• Produit : Microsoft Office SharePoint

Description

• Désérialisation de données non fiables : Cela signifie que des données, venant d'une source non sûre, sont converties en un objet utilisable par une application. Dans ce cas, Microsoft Office SharePoint traite ces données de manière incorrecte.

Impact

• Un attaquant autorisé peut exploiter cette faille. Cela signifie qu'une personne ayant déjà un accès légitime au système peut lancer une attaque.
• En utilisant cette vulnérabilité, un attaquant peut exécuter du code à distance (RCE, Remote Code Execution) sur le réseau, ce qui peut compromettre la sécurité des données et des systèmes.

Risques Associés

• La capacité d'exécuter du code à distance peut permettre à un attaquant d'accéder à des informations sensibles, de manipuler des configurations ou de perturber le service.

Conclusion

Il est crucial de gérer et d'opérer avec prudence les accès sur Microsoft Office SharePoint pour prévenir les abus liés à cette vulnérabilité. Assurez-vous de mettre à jour et de sécuriser adéquatement le système.

Traduction et Explication de la Vulnérabilité

Le plugin LiteSpeed User-End cPanel, avant la version 2.4.5, présente une vulnérabilité qui permet une élévation de privilèges (potentiellement jusqu'à root). Cette faille a été exploitée en mai 2026.

Détails de la Vulnérabilité :

• Élévation de privilèges : permet à un utilisateur malveillant d'acquérir des permissions supérieures.
• Cette vulnérabilité est liée à la mauvaise gestion des fonctions d'activation/désactivation de Redis (un système de gestion de base de données en mémoire).

Détection :

• Pour vérifier si votre système est affecté, exécutez la commande suivante dans un terminal Bash : bash grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null
• Interprétation des résultats :
• Aucun résultat : Votre système n'a pas été compromis.
• Résultats présents : Examinez les adresses IP détectées, vérifiez leur validité, puis bloquez celles qui semblent suspectes.

Actions Recommandées :

• Consultez les journaux système pour évaluer les éventuels dommages causés par ces adresses IP.
• Mettez à jour vers la version minimum 2.4.7 pour corriger cette vulnérabilité.

Starlette est un cadre léger ASGI (Asynchronous Server Gateway Interface) utilisé pour développer des applications web. Avant la version 1.0.1, l'en-tête de requête HTTP Host n'était pas validé avant d'être utilisé pour reconstruire request.url. Voici les implications :

• La logique d'acheminement se base sur le chemin brut HTTP, tandis que request.url est reconstruit à partir de l'en-tête Host.
• Si cet en-tête est malformé, cela peut entraîner une différence entre request.url.path et le chemin réellement demandé.
• Cela permettrait de contourner des restrictions de sécurité appliquées sur request.url, ce qui pourrait ouvrir la porte à des attaques.

Recommandation : Il est essentiel que les utilisateurs mettent à niveau leur version vers au moins la 1.0.1. Cette version valide l'en-tête Host conformément aux normes RFC 9112 §3.2 et RFC 3986 §3.2.2 pour la construction de request.url. En cas de valeur malformée, elle se base sur scope["server"].

Acronymes :

• RCE : Remote Code Execution (exécution de code à distance)
• SSRF : Server-Side Request Forgery (falsification de requête côté serveur)
• XSS : Cross-Site Scripting (script intersite)

Assurez-vous de procéder à cette mise à jour pour garantir la sécurité de vos applications.

Vulnérabilité de contrôle d'accès inapproprié dans Fortinet FortiClientEMS

• Une vulnérabilité de contrôle d'accès inapproprié a été identifiée dans Fortinet FortiClientEMS versions 7.4.5 à 7.4.6.
• Cette faille permet à un attaquant non authentifié de charger et exécuter du code ou des commandes non autorisées en envoyant des requêtes manipulées.

Explications des termes :

• Contrôle d'accès : Méthode de sécurisation qui détermine qui peut accéder à quelles ressources.
• Attaquant non authentifié : Un individu qui tente d'accéder à un système sans avoir fourni de credentials (nom d'utilisateur, mot de passe).
• Code ou commandes non autorisées : Tout code malveillant ou instruction qui ne devrait pas être exécuté sur le système.

Il est crucial de mettre à jour FortiClientEMS vers une version corrigée pour éviter l'exploitation de cette vulnérabilité.

Dans le noyau Linux, la vulnérabilité suivante a été résolue :

• Produit concerné : Noyau Linux
• Vulnérabilité : crypto: algif_aead - Revert to operating out-of-place
• Cette correction revient principalement sur le commit 72548b093ee3, à l'exception de la copie des données associées.
• Contexte : L'exploitation "in-place" (sur-place), qui consiste à modifier directement les données à l'emplacement d'origine, n'apporte aucun avantage dans le cas de algif_aead. En effet, la source et la destination des données proviennent de différentes mémoires (mappings).
• Solution : Supprimer toute la complexité ajoutée pour les opérations sur-place et copier directement les données associées (AD).

Acronymes utilisés : - AD : Associated Data, qui désigne des données supplémentaires utilisées lors du chiffrement.

Cette correction simplifie le processus et améliore la sécurité en évitant des comportements indésirables liés à l’opération sur-place.

Vulnérabilité de type XSS dans Microsoft Exchange Server

• CVE : Dans ce cas, la vulnérabilité concerne la génération incorrecte des entrées lors de la création de pages web.
• XSS (Cross-Site Scripting) : Il s'agit d'une technique où un attaquant injecte des scripts malveillants dans des pages web vues par d'autres utilisateurs. Cela peut permettre de voler des informations sensibles ou d'effectuer des actions à leur insu.
• Microsoft Exchange Server : C’est un serveur de messagerie qui gère les communications et les calendriers d'une organisation.

Impact de cette vulnérabilité : - Un attaquant non autorisé peut l’exploiter pour usurper l'identité d'autres utilisateurs sur le réseau. - En tirant parti de XSS, l'attaquant peut potentiellement manipuler l'affichage ou s'introduire dans des sessions légitimes.

Actions recommandées : - Mettre à jour Microsoft Exchange Server pour corriger cette vulnérabilité. - Sensibiliser les utilisateurs aux risques de sécurité liés à l'ouverture des liens et des contenus non vérifiés.

Vulnérabilité d’Injection SQL dans Drupal

Une vulnérabilité d'Injection SQL (CVE non spécifiée) a été identifiée dans le cœur de Drupal. Cette vulnérabilité permet à un attaquant d'exécuter des commandes SQL malveillantes sur le système, ce qui peut compromettre la sécurité des données de l'application.

Détails :

• Produit concerné : Drupal Core
• Versions affectées :
• De 8.9.0 avant 10.4.10
• De 10.5.0 avant 10.5.10
• De 10.6.0 avant 10.6.9
• De 11.0.0 avant 11.1.10
• De 11.2.0 avant 11.2.12
• De 11.3.0 avant 11.3.10

Qu'est-ce que l'Injection SQL ?

• Injection SQL : Une technique où un attaquant insère des éléments SQL malveillants dans une requête pour manipuler une base de données.

Conséquences potentielles :

• Exposition ou modification de données sensibles.
• Possibilité pour un attaquant d'exécuter des commandes arbitraires sur la base de données.

Recommandation :

• Mettre à jour Drupal vers une version sécurisée pour éliminer cette vulnérabilité et protéger vos données.

Marimo est un notebook réactif basé sur Python. Avant la version 0.23.0, Marimo présentait une vulnérabilité de type RCE (Remote Code Execution, exécution de code à distance) avant authentification.

Détails de la vulnérabilité :

• Endpoint concerné : /terminal/ws (point de terminaison WebSocket).
• Problème : Cet endpoint ne vérifie pas l’authentification, permettant à un attaquant non authentifié d'accéder à un shell PTY complet et d'exécuter des commandes système arbitraires.
• Comparaison : Contrairement à d'autres points de terminaison WebSocket (comme /ws) qui utilisent la fonction validate_auth() pour confirmer l'authentification, le endpoint /terminal/ws se contente de vérifier le mode d'exécution et le support de la plateforme, négligeant totalement la vérification des identifiants.

Résolution :

• Cette vulnérabilité a été corrigée dans la version 0.23.0 de Marimo.

Il est crucial de toujours mettre à jour les logiciels pour éviter d'exposer vos systèmes à de telles failles de sécurité.

Analyse de la vulnérabilité

Une dépassement d'entier (integer overflow) a été corrigé grâce à une amélioration de la validation des entrées. Ce problème pourrait permettre à une application de provoquer une termination inattendue du système.

Détails de la correction

• Produits concernés :
• iOS : 18.7.9
• iPadOS : 18.7.9
• macOS Sequoia : 15.7.7
• macOS Sonoma : 14.8.7
• macOS Tahoe : 26.5

Explications des vulnérabilités

• Dépassement d'entier : Se produit lorsque des calculs dépassent la capacité d'un type de données entier, ce qui peut entraîner des comportements imprévus.
• Termination inattendue : Le système peut se bloquer ou redémarrer de manière inattendue, ce qui peut affecter l'expérience utilisateur et la stabilité de l'appareil.

Importance de la mise à jour

Il est fortement recommandé de mettre à jour vers les versions mentionnées pour assurer la sécurité de votre appareil et éviter des problèmes potentiels liés à cette vulnérabilité.

Résumé de la vulnérabilité :

• Vulnérabilité : Une valeur de machineKey codée en dur dans les déploiements de Digital Knowledge KnowledgeDeliver avant le 24 février 2026.

• Impact : Les attaquants peuvent contourner les mécanismes de validation du ViewState et réaliser des attaques de désérialisation malveillante. Cela pourrait leur permettre d'exécuter du code à distance (RCE, Remote Code Execution).

Explications des termes :

• ASP.NET/IIS : Framework et serveur web de Microsoft utilisés pour développer des applications web.

• machineKey : Utilisé pour sécuriser les données de session et le ViewState dans les applications ASP.NET. Une valeur codée en dur signifie qu'elle est fixe, ce qui affaiblit la sécurité.

• ViewState : Mécanisme permettant de conserver l'état de la page lors des requêtes entre le serveur et le client.

• Désérialisation : Processus de conversion de données en objet dans le code. Une désérialisation malveillante peut conduire à l'exécution de code non autorisé.

Conclusion : Cette vulnérabilité expose les déploiements concernés à des attaques sérieuses, permettant aux acteurs malveillants d'exécuter du code sur le serveur à distance. Il est impératif de mettre à jour ou de modifier les configurations avant la date spécifiée.