CERTFR-2023-ALE-009 : Vulnérabilité dans Ivanti Endpoint Manager Mobile (26 juillet 2023)
Le 24 juillet 2023, Ivanti a corrigé une vulnérabilité affectant le produit Endpoint Manager …
CERTFR-2023-ALE-008 : Vulnérabilité dans Citrix NetScaler ADC et NetScaler Gateway (19 juillet 2023)
Le 18 juillet 2023, Citrix a publié un avis de sécurité concernant plusieurs vulnérabilités. La plus critique, dont l’identifiant CVE est CVE-2023-3519, permet à un attaquant non authentifié d’exécuter du code arbitraire à distance. L’équipement est vulnérable s’il est configuré… Continuer la lecture
CERTFR-2023-ALE-007 : Vulnérabilité dans Zimbra Collaboration Suite (17 juillet 2023)
Le 13 juillet, Zimbra a publié un avis de sécurité alertant de l’existence d’une vulnérabilité affectant sa solution Collaboration Suite dans la version 8.8.15 Cette vulnérabilité permet à un attaquant de réaliser une injection de code indirecte (XSS) pour porter… Continuer la lecture
CERTFR-2023-ALE-006 : Vulnérabilité dans les produits Microsoft (12 juillet 2023)
Description de la vulnérabilité Dans le cadre de son Patch Tuesday, en date du 11 juillet 2023, Microsoft a indiqué l’existence d’une vulnérabilité référencée CVE-2023-36884 [1] au sein de plusieurs versions de Windows et produits Office. Un score CVSSv3 de… Continuer la lecture
CERTFR-2023-ALE-005 : Synthèse sur l’exploitation d’une vulnérabilité dans MOVEit Transfer (05 juillet 2023)
La découverte d’une vulnérabilité affectant le logiciel MOVEit Transfer de Progress Software, le 31 mai 2023, avait conduit le CERT-FR à publier des éléments d’information dans le bulletin d’actualité CERTFR-2023-ACT-025. L’objet de cette alerte CERTFR-2023-ALE-005 est de faire le …
CERTFR-2023-ALE-004 : Vulnérabilité dans les produits Fortinet (13 juin 2023)
Le 12 juin 2023, Fortinet a publié un avis de sécurité concernant la vulnérabilité CVE-2023-27997. Celle-ci permet à un attaquant non authentifié d’exécuter du code arbitraire à distance sur des produits Fortinet qui proposent une fonctionnalité de VPN SSL. Dans… Continuer la lecture
CERTFR-2023-ALE-003 : Compromission de l’application 3CX Desktop App (31 mars 2023)
Le 30 mars 2023, l’éditeur a publié un communiqué concernant la compromission de leur application de bureau 3CX (3CX Desktop App). Cette application de conférence vocale et vidéo, dans certaines versions, est infectée par un cheval de Troie qui rend… Continuer la lecture
CERTFR-2023-ALE-002 : Vulnérabilité dans Microsoft Outlook (15 mars 2023)
En date du 14 mars 2023, lors de sa mise à jour mensuelle, Microsoft a indiqué l’existence d’une vulnérabilité CVE-2023-23397 affectant diverses versions du produit Outlook pour Windows qui permet à un attaquant de voler les authentifiants …
CERTFR-2023-ALE-001 : Vulnérabilité dans Fortinet FortiOS (14 mars 2023)
Le 07 mars 2023, Fortinet a publié un avis de sécurité détaillant l’existence d’une vulnérabilité de type traversée de chemin (path traversal) permettant à un attaquant authentifié avec un compte à privilèges de lire et d’écrire des fichiers arbitrairement au travers… Continuer la lecture
CERTFR-2023-ALE-015 : Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi (03 février 2023)
Le 03 février 2023, le CERT-FR a pris connaissance de campagnes d’attaque ciblant les hyperviseurs VMware ESXi dans le but d’y déployer un rançongiciel. Dans l’état actuel des investigations, ces campagnes d’attaque semblent exploiter …