🪲 Semaine 23 — CVE les plus discutées

Vulnérabilités de contournement d’authentification dans GlobalProtect

Les vulnérabilités de contournement d’authentification dans le portail et la passerelle GlobalProtect du logiciel PAN-OS® de Palo Alto Networks permettent à un attaquant de :

• Contourner les restrictions de sécurité.
• Établir une connexion VPN non autorisée.

Impact :

• Un attaquant peut accéder au réseau d'une organisation sans autorisation.

Produits concernés :

• GlobalProtect : Service VPN de Palo Alto Networks.

Produits non impactés :

• Panorama : Solution de gestion de la sécurité.
• Cloud NGFW : Pare-feu de nouvelle génération pour le cloud.

Quelques acronymes :

• VPN : Réseau privé virtuel, qui permet des connexions sécurisées à un réseau privé via Internet.
• RCE (Remote Code Execution) : Exécution de code à distance, permettant à un attaquant d'exécuter des commandes sur un système à distance.
• SSRF (Server-Side Request Forgery) : Attaque où un serveur effectue une requête HTTP non autorisée.
• XSS (Cross-Site Scripting) : Vulnérabilité qui permet à un attaquant d'injecter des scripts malveillants dans des pages web vues par d'autres utilisateurs.

Ces vulnérabilités soulignent l'importance de maintenir à jour ses logiciels de sécurité pour protéger le réseau.

Un débordement de tampon basé sur la pile dans Netlogon de Windows permet à un attaquant non autorisé d'exécuter du code à distance via un réseau. Voici une explication des termes clés :

• Débordement de tampon : Erreur de programmation où des données sont écrites au-delà des limites d'un tampon, corrompant des données adjacentes et pouvant permettre l'exécution de code malveillant.
• Netlogon : Service de Windows gérant l'authentification des utilisateurs dans un réseau.
• Attaquant non autorisé : Personne sans autorisation qui tente d'accéder à des systèmes ou données protégés.
• Exécuter du code : Lancer des instructions ou programmes, potentiellement malveillants, sur le système cible.

La vulnérabilité évoquée permettrait à un attaquant de compromettre un système à distance, ce qui pourrait avoir des conséquences graves, comme la perte de données ou le contrôle total du serveur.

Il existe plusieurs cas où il est possible d'exécuter du code à cause d'un débordement d'entier. Ce type de vulnérabilité peut entraîner une élévation locale de privilèges, ce qui signifie qu'un attaquant pourrait obtenir des droits d'accès plus élevés sur le système sans nécessiter de privilèges d'exécution supplémentaires.

• Débordement d'entier : Erreur lors du traitement d'un nombre qui dépasse sa capacité maximale, potentiellement exploitable pour exécuter du code malveillant.
• Élévation locale de privilèges : Lorsque l'attaquant obtient des droits d'accès qui lui étaient initialement refusés, lui permettant d'effectuer des actions non autorisées.

De plus, l'exploitation de cette vulnérabilité ne requiert aucune interaction de l'utilisateur, ce qui rend l'attaque encore plus insidieuse. Il est donc crucial de corriger ces failles pour protéger les systèmes.

Analyse de la vulnérabilité dans Cisco Catalyst SD-WAN Manager

Une vulnérabilité a été détectée dans l'interface en ligne de commande (CLI) de Cisco Catalyst SD-WAN Manager (anciennement SD-WAN vManage). Cette faille pourrait permettre à un attaquant local authentifié d’exécuter des commandes arbitraires avec des privilèges root en fournissant un fichier manipulé au système affecté.

Détails de la vulnérabilité :

• Cause : Manque de validation adéquate des entrées fournies par l'utilisateur.
• Exploitation :
• Un attaquant peut télécharger un fichier malveillant sur le système concerné.
• Une exploitation réussie peut mener à des attaques par injection de commandes (command injection), permettant de prendre le contrôle en tant qu’utilisateur root.

Conditions d'exploitation :

• L'attaquant doit posséder des privilèges netadmin sur le système affecté, ce qui implique qu'il dispose de credentials valides ou d'une exploitation d'autres failles.

Observations de Cisco :

• Cisco n’est pas conscient d’exploitations réussies par d’autres méthodes.
• Des cas limités ont été observés où cette vulnérabilité a entraîné un changement de configuration sur des dispositifs périphériques.

Recommandations :

• Cisco recommande aux clients de mettre à jour leur logiciel vers la version corrigée, comme indiqué dans l’annonce publiée le 14 mai 2026.
• Il est également conseillé de vérifier la configuration des dispositifs périphériques.

Vulnérabilité dans Cisco Unified Communications Manager

Une vulnérabilité a été identifiée dans Cisco Unified Communications Manager (Unified CM) et Cisco Unified Communications Manager Session Management Edition (Unified CM SME). Cette vulnérabilité pourrait permettre à un attaquant à distance et non authentifié de mener des attaques de server-side request forgery (SSRF).

Détails de la vulnérabilité :

• Cause : Validation incorrecte des entrées pour certaines requêtes HTTP.
• Exploitation : Un attaquant peut envoyer une requête HTTP spécialement conçue à un appareil affecté.
• Conséquence : Une exploitation réussie pourrait permettre à l'attaquant d'écrire des fichiers sur le système d'exploitation sous-jacent, ce qui pourrait être utilisé pour élever les privilèges à root (administrateur).

Informations supplémentaires :

• SIR (Security Impact Rating) : Cisco a classé cette vulnérabilité comme Critique plutôt que Élevée en raison de la possibilité d'une élévation des privilèges à root.
• Condition préalable : Le service WebDialer doit être activé pour exploiter cette vulnérabilité. Notez que WebDialer est désactivé par défaut.

Acronymes à connaître :

• SSRF : Server-Side Request Forgery, attaque qui permet à un attaquant de forcer un serveur à faire des requêtes à d'autres ressources.
• RCE : Remote Code Execution, exécution de code à distance, généralement une vulnérabilité plus grave.
• XSS : Cross-Site Scripting, une vulnérabilité permettant d'injecter du code malveillant dans des pages web.

Soyez vigilant et assurez-vous de configurer correctement vos systèmes !

Résumé de la vulnérabilité dans Oracle WebLogic Server

Une vulnérabilité a été identifiée dans le produit Oracle WebLogic Server d'Oracle Fusion Middleware (composant : Core). Les versions affectées sont :

• 12.2.1.4.0
• 14.1.1.0.0

Détails de la vulnérabilité

• Cette vulnérabilité est facilement exploitable par un attaquant non authentifié disposant d'un accès réseau via T3 ou IIOP.
• Un attaquant peut compromettre Oracle WebLogic Server.
• Des attaques réussies peuvent entraîner un accès non autorisé à des données critiques ou un accès complet à toutes les données accessibles sur Oracle WebLogic Server.

Évaluation des risques

• CVSS 3.1 Base Score : 7.5, indiquant un impact élevé sur la confidentialité.
• CVSS Vector : (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
• AV : Access Vector - accède via le réseau
• AC : Access Complexity - faible complexité
• PR : Privileges Required - aucune autorisation requise
• UI : User Interaction - aucune interaction utilisateur requise
• S : Scope - portée inchangée
• C : Confidentiality - impact sur la confidentialité élevé
• I : Integrity - impact sur l'intégrité nul
• A : Availability - impact sur la disponibilité nul

Conclusion

Il est crucial de mettre à jour les versions vulnérables pour éviter des compromissions de sécurité.

Le plugin WP Maps Pro pour WordPress présente une vulnérabilité de montée de privilèges via la création de comptes administrateur dans toutes les versions jusqu'à, et y compris, la 6.1.0.

• Cette vulnérabilité est causée par l'action AJAX wpgmp_temp_access_ajax, enregistrée avec wp_ajax_nopriv_.
• Elle est protégée uniquement par un nonce (un jeton de sécurité) utilisant fc-call-nonce, qui est intégré publiquement dans chaque page du frontend via wp_localize_script. Cela rend la vérification inefficace en tant que mécanisme de contrôle d'accès.
• En conséquence, les attaquants non authentifiés peuvent invoquer le gestionnaire wpgmp_temp_access_support avec le paramètre check_temp=false, permettant de créer un nouvel utilisateur WordPress avec le rôle d'administrateur via wp_insert_user().
• Cela retourne une URL magique de connexion qui, lorsqu'elle est visitée, appelle wp_set_auth_cookie() pour authentifier complètement l'attaquant en tant que nouvel administrateur, ce qui peut conduire à une prise de contrôle totale du site.

CVE (Common Vulnerabilities and Exposures) : Un type d'identification pour les vulnérabilités connues, mais ici, aucune référence spécifique CVE n'est fournie.

Voici une traduction et une explication claire du texte :

Vulnérabilité dans Mirasvit Full Page Cache Warmer pour Magento 2

• Produits concernés : Mirasvit Full Page Cache Warmer pour Magento 2, avant la version 1.11.12.
• Type de vulnérabilité : Injection d'objet PHP.

Description : - Cette vulnérabilité permet à des attaquants non authentifiés d'exécuter du code à distance (RCE - Remote Code Execution) en fournissant un objet PHP sérialisé malveillant dans le cookie CacheWarmer. - L'attaque exploite l'appel non restreint à la fonction native unserialize() de PHP, combiné avec des chaînes de gadgets disponibles dans Magento et ses dépendances. Cela permet l'exécution de code arbitraire sur le serveur.

Notes sur les acronymes : - RCE : Exécution de code à distance. - PHP : Hypertext Preprocessor, un langage de programmation largement utilisé pour le développement web. - unserialize() : Fonction PHP qui reconvertit une chaîne de caractères en objet PHP. Si mal utilisée, elle peut permettre une injection de code.

Cette description résume la vulnérabilité et ses implications de manière compréhensible.

Une vulnérabilité a été découverte dans la fonction cgroup_release_agent_write du noyau Linux, située dans le fichier kernel/cgroup/cgroup-v1.c. Voici les détails :

• Type de vulnérabilité : Cette faille permet, dans certaines situations, d'utiliser la fonctionnalité release_agent des cgroups v1 (Control Groups version 1) pour.
• Conséquences : Elle permet une escalade de privilèges, ce qui signifie qu'un utilisateur malveillant peut acquérir des droits d'accès plus élevés que ceux qui lui sont normalement attribués. Cela peut mener à un contournement de l'isolation des namespaces.
• Namespace isolation : Une technique de sécurité dans Linux qui isole les ressources pour différents utilisateurs ou processus afin de garantir que les données et les opérations d'un groupe ne soient pas accessibles ou affectées par un autre.

Cette vulnérabilité pourrait avoir des impacts significatifs sur la sécurité des systèmes utilisant le noyau Linux, notamment en compromettant l'intégrité des données et des opérations. Il est donc crucial de suivre les mises à jour de sécurité et de corriger cette faille rapidement.

Le plugin Kirki – Freeform Page Builder, Website Builder & Customizer pour WordPress présente une vulnérabilité d'escalade de privilèges par usurpation de compte dans toutes les versions de 6.0.0 à 6.0.6. Voici les détails :

• Vulnérabilité : Escalade de privilèges via usurpation de compte.
• Impact : Les attaquants non authentifiés peuvent intercepter des liens de réinitialisation de mot de passe.
• Mécanisme : Le plugin accepte une adresse email arbitraire lorsqu'un nom d'utilisateur est utilisé pour demander une réinitialisation de mot de passe.
• Conséquence : Cela permet aux attaquants d'envoyer un lien de réinitialisation du mot de passe de tout utilisateur enregistré sur le site vers leur propre email.

Acronymes utiles : - RCE (Remote Code Execution) : Exécution de code à distance, permettant à un attaquant d'exécuter des commandes sur le serveur. - SSRF (Server-Side Request Forgery) : L'attaquant envoie des requêtes depuis le serveur vers un autre service. - XSS (Cross-Site Scripting) : Script intersite, où un attaquant injecte du code malveillant dans une page web.

Il est crucial de mettre à jour le plugin pour éviter cette vulnérabilité.

Redis est un système de stockage de données en mémoire. Dans redis-server, versions de 7.2.0 à 8.6.3, le processus de déblocage d’un client ne gère pas correctement une erreur retournée par processCommandAndResetClient lors de la réexécution d'une commande bloquée. Voici les points principaux à retenir :

• Problème : Si un client bloqué est évincé pendant ce processus, un attaquant authentifié peut provoquer un use-after-free. Cela signifie que le programme tente d'accéder à une mémoire qui a déjà été libérée, ce qui peut mener à une RCE (Remote Code Execution), permettant à l'attaquant d'exécuter du code à distance sur le serveur.
• Impact potentiel : Ce type de vulnérabilité peut compromettre la sécurité du serveur et entraîner des conséquences graves.
• Solution : Ce problème a été corrigé dans la version 8.6.3 de Redis.

Acronymes :

• RCE : Exécution de code à distance.
• Use-after-free : Accéder à de la mémoire déjà libérée, causant des erreurs ou des failles de sécurité.

Il est recommandé de mettre à jour vers la version corrigée pour éviter ces risques.