Code arbitraire

Bulletin d’alerte CERT du 12/04/24

125 Bulletin d’alerte du CERT-FR sur une vulnérabilité critique dans Palo Alto PAN-OS Palo Alto Networks vient d’émettre un bulletin de sécurité PAN-252214 le 12 avril 2024 concernant son produit PAN-OS. Le CERT-FR emet ce même jour un bulletin d’alerte concernant Cette vulnérabilité. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance. L’éditeur indique que la vulnérabilité CVE-2024-3400 est utilisée dans des attaques ciblées. Il s’agit d’un problème de gravité critique de score CVSS 10 indiqué par l’éditeur qui envisageait le développement d’un correctif avant le 14 avril 2024. CVE-2024-3400: Une vulnérabilité d’injection de commande dans la fonctionnalité GlobalProtect du logiciel PAN-OS de Palo Alto Networks pour des versions PAN-OS spécifiques et des configurations de fonctionnalités […]

Bulletin d’alerte CERT du 12/04/24 Lire la suite »

Code arbitraire, Confidentialité, Faille

Mise à jour de sécurité WordPress du 09 avril 2024

162 Mise à jour de sécurité WordPress du 09 avril 2024 WordPress diffuse une mise à jour de sécurité pour corrigée une vulnérabilité de cross-site scripting (XSS) affectant le type de bloc Avatar. Cette vulnérabilité permet à un attaquant de provoquer une injection de code indirecte à distance (XSS). Puisqu’il s’agit d’une version de sécurité, il est recommandé de mettre à jour vos sites immédiatement. Des rétroportages sont également disponibles pour d’autres versions majeures de WordPress, 6.0 et ultérieures. WordPress 6.5.2 est une version à cycle court. La prochaine version majeure sera la version 6.6 et est actuellement prévue pour le 16 juillet 2024. Vous avez la possibilité de paramétrer la mise à jour automatique de versions. Cette vulnérabilité a été rapportée par

Mise à jour de sécurité WordPress du 09 avril 2024 Lire la suite »

Code arbitraire, Correctif, Faille, WordPress, XSS

Avis de sécurité GitLab du 27 mars 2024

303 Mise à jour de sécurité GitLab du 27 mars 2024 Gitlab émet un bulletin de sécurité pour corriger deux vulnérabilités de gravité moyenne et élevée. Dans certaines versions, une vulnérabilité peut conduire un attaquant a provoquer un déni de service à distance. Une autre vulnérabilité peut permettre à un attaquant d’injecter du code indirecte à distance (XSS). Ces deux problèmes ont été corrigés et affectent de nombreuses versions de GitLab CE/EE . D’une part, une page wiki avec une charge utile contrefaite peut conduire à un XSS stocké, permettant aux attaquants d’effectuer des actions arbitraires au nom des victimes. D’autre part, il était possible pour un attaquant de provoquer un déni de service en utilisant un paramètre de description contrefait

Avis de sécurité GitLab du 27 mars 2024 Lire la suite »

Code arbitraire, Correctif, DDoS, Faille, GitLab, XSS

Deux avis de sécurité Netapp du 22 mars 2024

232 Multiples bulletins de sécurité Netapp StorageGRID du 22 mars 2024 Deux avis de sécurité de NetApp corrigent les vulnérabilités CVE-2024-21983 et CVE-2024-21984 dans son produit StorageGRID. Celles-ci donnaient des possibilités à un attaquant d’intervenir à distance. L’exploitation de ces failles pourrait permettre d’injecter du code indirect (XSS) et de provoquer un déni de service (DDos). Une exploitation réussie de la vulnérabilité CVE-2024-21984 pourrait conduire à la divulgation d’informations sensibles ou à une modification non autorisée des données.   CVE-2024-21983: Concerne une vulnérabilité de déni de service dans StorageGRID. Certaines versions de StorageGRID sont sensibles à une vulnérabilité de déni de service (DoS). Un exploit réussi par un attaquant authentifié pourrait entraîner une condition de mémoire insuffisante ou un redémarrage du

Deux avis de sécurité Netapp du 22 mars 2024 Lire la suite »

Code arbitraire, Correctif, DDoS, Faille, NetApp, Violation de données, XSS

Avis de sécurité Mozilla du 22 mars 2024

310 Mozilla plubie deux avis de sécurité le 22 mars 2024. Mozilla corrige deux vulnérabilités de niveau critique dans son navigateur Firefox. Elles permettent à un attaquant de provoquer une exécution de code arbitraire javascript à distance et un contournement de la politique de sécurité. CVE-2024-29943 : Faille critique avec un accès hors limites via le contournement de l’analyse de plage. Un attaquant a pu effectuer une lecture ou une écriture hors limites sur un objet JavaScript en trompant l’élimination de la vérification des limites basée sur la plage. CVE-2024-29944 : Faille critique avec une exécution JavaScript privilégiée via des gestionnaires d’événements. Un attaquant a pu injecter un gestionnaire d’événements dans un objet privilégié qui permettrait l’exécution arbitraire de JavaScript dans

Avis de sécurité Mozilla du 22 mars 2024 Lire la suite »

CERT, Code arbitraire, Correctif, Faille, Firefox, Mozilla, Politique de sécurité

Un exploit de faille RCE publié par Fortinet

240 Fortinet publie un exploit sur une faille critique RCE. Un exploit vient d’être diffusé par Fortinet concernant une faille d’exécution de code à distance (RCE) utilisée activement dans des attaques. Des chercheurs en sécurité ont publié un exploit de validation de principe (PoC) pour une vulnérabilité critique du logiciel FortiClient Enterprise Management Server (EMS) de Fortinet, qui est désormais activement exploitée dans des attaques. Cette faille de sécurité est une injection SQL dans le composant DB2 Administration Server (DAS) découverte et signalée par le National Cyber ​​Security Center (NCSC) du Royaume-Uni. CVE-2023-48788: Une neutralisation inappropriée des éléments spéciaux utilisés dans une commande SQL (« injection SQL ») dans Fortinet FortiClientEMS versions 7.2.0 à 7.2.2, FortiClientEMS 7.0.1 à 7.0.10 permet à

Un exploit de faille RCE publié par Fortinet Lire la suite »

Code arbitraire, Faille, Fortinet, Politique de sécurité, RCE
Retour en haut