Veritas NetBackup - CVE-2024-54664
Un défaut de gestion de chemins dans NetBackup sur Windows permet à un attaquant, en persuadant une victime de charger une DLL spécifiquement forgée, d'exécuter du code arbitraire...
https://cyberveille.esante.gouv.fr/alertes/veritas-netbackup-cve-2024-54664-2024-12-04
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Veeam Service Provider - CVE-2024-42448
Un défaut dans Veeam Service Provider Console (VSPC) permet à un attaquant authentifié, depuis un agent de gestion VSPC, d'exécuter du code arbitraire sur la machine serveur VSPC. ...
https://cyberveille.esante.gouv.fr/alertes/veeam-service-provider-cve-2024-42448-2024-12-04
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Veeam Backup & Replication - CVE-2024-40717
Un défaut dans Veeam Backup & Replication permet à un attaquant authentifié, en modifiant des tâches existantes, d'exécuter du code arbitraire avec des privilèges élevés.
https://cyberveille.esante.gouv.fr/alertes/veeam-backup-replication-cve-2024-40717-2024-12-04
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Google Chrome - CVE-2024-12053
Une vulnérabilité de type « confusion de type » dans le moteur V8 de Google Chrome permet à un attaquant, en persuadant une victime de consulter un site spécifiquement forgé, d...
https://cyberveille.esante.gouv.fr/alertes/google-chrome-cve-2024-12053-2024-12-04
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Dell - CVE-2024-42422
Un contournement d'autorisation dans Dell Networker permet à un attaquant, en envoyant des requêtes spécifiquement forgées, d'obtenir des informations sensibles.
https://cyberveille.esante.gouv.fr/alertes/dell-cve-2024-42422-2024-12-04
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Soutenez No Hack Me sur Tipeee

L'Actu de la veille

WordPress Widget Options- CVE-2024-8672
Un défaut de contrôle de données transmises par l'utilisateur dans la fonctionnalité display logic du plugin WordPress Widget Options permet à un attaquant avec les privilèges cont...
https://cyberveille.esante.gouv.fr/alertes/wordpress-widget-options-cve-2024-8672-2024-12-03
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Qt/F5 - CVE-2023-38197
La présence d'une boucle infinie dans Qt permet à un attaquant, en envoyant des requêtes spécifiquement forgées, de provoquer un déni de service.
https://cyberveille.esante.gouv.fr/alertes/qtf5-cve-2023-38197-2024-12-03
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

HPE - CVE-2024-51768
Un défaut dans le service hsqldb de Hewlett Packard Enterprise (HPE) AutoPass License Server (APLS) permet à un attaquant authentifié, en envoyant des requêtes spécifiquement...
https://cyberveille.esante.gouv.fr/alertes/hpe-cve-2024-51768-2024-12-03
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

TP-Link - CVE-2024-53375
Une vulnérabilité dans la fonction tmp_get_site de la fonctionnalité HomeShield de routeurs TP-Link permet à un attaquant authentifié, en envoyant des requêtes spécifiquement...
https://cyberveille.esante.gouv.fr/alertes/tp-link-cve-2024-53375-2024-12-03
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Zyxel - CVE-2024-8748
Un défaut de gestion de la mémoire dans la librairie tierce libclinkc de certains équipements Zyxel permet à un attaquant, en envoyant des requêtes spécifiquement forgées, de...
https://cyberveille.esante.gouv.fr/alertes/zyxel-cve-2024-8748-2024-12-03
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

L'Actu à J-2

REXML / F5 - CVE-2024-41123
Un défaut de traitement de certains caractères dans REXML permet à un attaquant, en envoyant un fichier XML spécifiquement forgé, de provoquer un déni de service.
https://cyberveille.esante.gouv.fr/alertes/rexml-f5-cve-2024-41123-2024-12-02
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

needrestart / Ubuntu - CVE-2024-48991
Un défaut lié à une exécution concurrente (race condition) dans needrestart permet à un attaquant authentifié, en forçant needrestart à utiliser un interpréteur python forgé, d...
https://cyberveille.esante.gouv.fr/alertes/needrestart-ubuntu-cve-2024-48991-2024-12-02
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Zabbix - CVE-2024-36466
Un défaut dans la méthode d'authentification SSO de Zabbix permet à un attaquant authentifié, en signant un cookie zbx_session spécifiquement forgé, d'obtenir les privilèges...
https://cyberveille.esante.gouv.fr/alertes/zabbix-cve-2024-36466-2024-12-02
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Hewlett Packard Enterprise (HPE) - CVE-2024-53673
Un défaut de désérialisation Java dans Hewlett Packard Enterprise (HPE) Remote Insight Support permet à un attaquant, en envoyant des requêtes spécifiquement forgées, d'exécuter du...
https://cyberveille.esante.gouv.fr/alertes/hewlett-packard-enterprise-hpe-cve-2024-53673-2024-12-02
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

D-Link - CVE-2024-51151
Un défaut dans la fonction msp_info_htm de D-Link permet à un attaquant authentifié, en envoyant des requêtes spécifiquement forgées, d'exécuter du code arbitraire.
https://cyberveille.esante.gouv.fr/alertes/d-link-cve-2024-51151-2024-12-02
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

L'Actu des jours précédents

Zyxel - CVE-2024-11667
Une vulnérabilité de type traversée de chemins dans l'interface Web des pare-feux Zyxel ZLD permet à un attaquant non authentifié, en envoyant des requêtes via une URL...
https://cyberveille.esante.gouv.fr/alertes/zyxel-cve-2024-11667-2024-11-29
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

VMware - CVE-2024-38830
Un défaut dans VMware Aria Operations permet à un attaquant authentifié comme administrateur local, en envoyant des requêtes spécifiquement forgées, d'élever ses privilèges à un...
https://cyberveille.esante.gouv.fr/alertes/vmware-cve-2024-38830-2024-11-29
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

D-Link - CVE-2024-52759
Un défaut de contrôle de la mémoire dans la fonction ip_position_asp du paramètre IP du routeur D-Link DI-8003 permet à un attaquant non authentifié, en envoyant des requêtes GET...
https://cyberveille.esante.gouv.fr/alertes/d-link-cve-2024-52759-2024-11-29
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Palo Alto Networks - CVE-2024-9474
Un défaut de contrôle des caractères spéciaux dans PAN-OS permet à un attaquant authentifié comme utilisateur privilégié, en envoyant des requêtes spécifiquement forgées, d'élever...
https://cyberveille.esante.gouv.fr/alertes/palo-alto-networks-cve-2024-9474-2024-11-29
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Zabbix - CVE-2024-42330
Un défaut de contrôle des chaînes de caractères dans l'objet HttpRequest de Zabbix permet à un attaquant authentifié comme utilisateur privilégié, en envoyant des requêtes HTTP...
https://cyberveille.esante.gouv.fr/alertes/zabbix-cve-2024-42330-2024-11-29
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

GitHub CLI - CVE-2024-52308
Une vulnérabilité de type injection de commande dans GitHub CLI permet à un attaquant non authentifié, en persuadant un utilisateur de se connecter à un serveur SSH Codespace...
https://cyberveille.esante.gouv.fr/alertes/github-cli-cve-2024-52308-2024-11-28
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

ManageEngine - CVE-2024-52323
Un défaut d'exposition de données sensibles dans ManageEngine Analytics Plus permet à un attaquant authentifié, en exfiltrant des jetons associés au compte org-admin, d'élever ses...
https://cyberveille.esante.gouv.fr/alertes/manageengine-cve-2024-52323-2024-11-28
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Zabbix - CVE-2024-42327
Une vulnérabilité de type injection SQL dans la fonction addRelatedObjects de Zabbix permet à un attaquant authentifié ayant accès à l'API, en envoyant des requêtes spécifiquement...
https://cyberveille.esante.gouv.fr/alertes/zabbix-cve-2024-42327-2024-11-28
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

WordPress - CVE-2024-10542
Un défaut de contournement d'autorisation dans la fonction checkWithoutToken du plugin WordPress Spam protection, Anti-Spam, FireWall by CleanTalk permet à un attaquant non...
https://cyberveille.esante.gouv.fr/alertes/wordpress-cve-2024-10542-2024-11-28
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

PHPGurukul COVID19 Testing Management System - CVE-2024-53603
Une vulnérabilité de type injection SQL dans le composant /covid-tms/password-recovery.php de PHPGurukul COVID19 Testing Management System permet à un utilisateur non authentifié...
https://cyberveille.esante.gouv.fr/alertes/phpgurukul-covid19-testing-management-system-cve-2024-53603-2024-11-28
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Mozilla - CVE-2024-11691
Un défaut de contrôle du contenu WebGL dans les appareils équipés de processeurs Apple Silicon permet à un attaquant, en persuadant une victime de consulter un site Web...
https://cyberveille.esante.gouv.fr/alertes/mozilla-cve-2024-11691-2024-11-27
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

GitLab - CVE-2024-8114
Un défaut de gestion des autorisations dans GitLab CE/EE permet à un attaquant disposant d'un jeton d'accès personnel d'élever ses privilèges.
https://cyberveille.esante.gouv.fr/alertes/gitlab-cve-2024-8114-2024-11-27
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

needrestart - CVE-2024-48990
Un défaut de contrôle des chemins dans la variable PYTHONPATH de needrestart permet à un attaquant authentifié, en envoyant des requêtes spécifiquement forgées, d'exécuter du code...
https://cyberveille.esante.gouv.fr/alertes/needrestart-cve-2024-48990-2024-11-27
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

HPE - CVE-2024-53676
Une vulnérabilité de type traversée de répertoires dans HPE Insight Remote Support permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, d...
https://cyberveille.esante.gouv.fr/alertes/hpe-cve-2024-53676-2024-11-27
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Palo Alto Networks - CVE-2024-5921
Un défaut de contrôle des certificats dans l'application Palo Alto GlobalProtect permet à un attaquant local authentifié, en installant des certificats root spécifiquement forgés...
https://cyberveille.esante.gouv.fr/alertes/palo-alto-networks-cve-2024-5921-2024-11-27
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Snappy-java - CVE-2023-34455
Un défaut de contrôle de longueur de bloc dans la fonction hasNextChunk du fichier SnappyInputStream.java de snappy-java permet à un attaquant authentifié, en envoyant des flux...
https://cyberveille.esante.gouv.fr/alertes/snappy-java-cve-2023-34455-2024-11-26
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

QNAP - CVE-2024-50396
Un défaut de contrôle des chaînes de caractères dans QNAP QTS et QuTS hero permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, de porter...
https://cyberveille.esante.gouv.fr/alertes/qnap-cve-2024-50396-2024-11-26
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

CodeAstro Hospital Management System - CVE-2024-11674
Un défaut de contrôle de fichier dans le point de terminaison /backend/doc/his_doc_update-account.php dans CodeAstro Hospital Management System (HMS) permet à un attaquant...
https://cyberveille.esante.gouv.fr/alertes/codeastro-hospital-management-system-cve-2024-11674-2024-11-26
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Centreon - CVE-2024-45755
Une vulnérabilité de type injection SQL dans le formulaire de configuration des slots de Centreon DSM permet à un attaquant authentifié avec des privilèges élevés, en envoyant des...
https://cyberveille.esante.gouv.fr/alertes/centreon-cve-2024-45755-2024-11-26
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Apple - CVE-2024-44206
Un défaut de gestion des protocoles URL dans le composant Webkit de plusieurs produits Apple permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées...
https://cyberveille.esante.gouv.fr/alertes/apple-cve-2024-44206-2024-11-26
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Plugin WordPress FluentSMTP - CVE-2024-9511
Un défaut de désérialisation d'entrées non fiables dans la fonction formatResult du plugin FluentSMTP pour WordPress permet à un attaquant non authentifié, en injectant un objet...
https://cyberveille.esante.gouv.fr/alertes/plugin-wordpress-fluentsmtp-cve-2024-9511-2024-11-25
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Kubernetes - CVE-2024-10220
Un défaut de contrôle des autorisations dans le volume gitRepo de Kubernetes kubelet permet à un attaquant authentifié, en créant un pod et en associant un volume GitRepo...
https://cyberveille.esante.gouv.fr/alertes/kubernetes-cve-2024-10220-2024-11-25
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

QNAP - CVE-2024-38645
Un défaut dans QNAP Notes Station 3 permet à un attaquant authentifié comme utilisateur simple, de mener une attaque de type Server-Side Request Forgery (SSRF).
https://cyberveille.esante.gouv.fr/alertes/qnap-cve-2024-38645-2024-11-25
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

OpenText - CVE-2023-24467
Une vulnérabilité de type injection de commande dans le paramètre GET d'OpenText iManager permet à un attaquant authentifié, en envoyant des requêtes GET spécifiquement forgées, de...
https://cyberveille.esante.gouv.fr/alertes/opentext-cve-2023-24467-2024-11-25
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

QNAP - CVE-2024-48860
Une vulnérabilité de type injection de commande dans QNAP QuRouter permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, d'exécuter du code...
https://cyberveille.esante.gouv.fr/alertes/qnap-cve-2024-48860-2024-11-25
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Wireshark - CVE-2024-11596
Un défaut de contrôle de la mémoire dans Wireshark permet à un attaquant, en persuadant une victime d'ouvrir une capture réseau spécifiquement forgée, de provoquer un déni de...
https://cyberveille.esante.gouv.fr/alertes/wireshark-cve-2024-11596-2024-11-22
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Linux - CVE-2024-50288
Un défaut de contrôle de la mémoire dans le dossier vivid de Linux permet à un attaquant authentifié de porter atteinte à la confidentialité, à l'intégrité et à la disponibilité...
https://cyberveille.esante.gouv.fr/alertes/linux-cve-2024-50288-2024-11-22
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Wireshark - CVE-2024-11595
Un défaut de contrôle des données fournies par les utilisateurs dans Wireshark permet à un attaquant, en persuadant une victime d'ouvrir une capture réseau spécifiquement forgée...
https://cyberveille.esante.gouv.fr/alertes/wireshark-cve-2024-11595-2024-11-22
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

PHP - CVE-2024-8932
Un défaut de contrôle de la mémoire dans la fonction ldap_escape() de PHP permet à un attaquant non authentifié de porter atteinte à l'intégrité, à la confidentialité et à la...
https://cyberveille.esante.gouv.fr/alertes/php-cve-2024-8932-2024-11-22
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Apple - CVE-2024-44307
Un défaut de contrôle de la mémoire dans le composant ASP TCP de macOS Sonoma permet à un attaquant, en utilisant une application spécifiquement forgée, d'exécuter du code...
https://cyberveille.esante.gouv.fr/alertes/apple-cve-2024-44307-2024-11-22
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Zyxel - CVE-2024-11494
Un défaut de contrôle de l'authentification dans certains routeurs Zyxel permet à un attaquant, en envoyant des requêtes spécifiquement forgées, de porter atteinte à la...
https://cyberveille.esante.gouv.fr/alertes/zyxel-cve-2024-11494-2024-11-21
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

TP-Link - CVE-2024-11237
Un défaut de contrôle de la mémoire dans les routeurs TP-Link VN020 F3v(T) permet à un attaquant authentifié, en envoyant des paquets DHCP DISCOVER spécifiquement forgés, de...
https://cyberveille.esante.gouv.fr/alertes/tp-link-cve-2024-11237-2024-11-21
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

M-Files - CVE-2024-10127
Un défaut de contrôle de l'authentification dans M-Files permet à un attaquant de contourner la politique de sécurité et de s'authentifier sans mot de passe.
https://cyberveille.esante.gouv.fr/alertes/m-files-cve-2024-10127-2024-11-21
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Linux - CVE-2024-50290
Un défaut de contrôle de la mémoire dans le fichier cx24116.c du noyau Linux permet à un attaquant authentifié de porter atteinte à la confidentialité, l'intégrité et la...
https://cyberveille.esante.gouv.fr/alertes/linux-cve-2024-50290-2024-11-21
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

7-Zip - CVE-2024-11477
Un défaut de contrôle des données fournies par les utilisateurs permet à un attaquant non authentifié, en persuadant une victime d'ouvrir une archive spécifiquement forgée, d...
https://cyberveille.esante.gouv.fr/alertes/7-zip-cve-2024-11477-2024-11-21
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Apple - CVE-2024-44309
Un défaut dans le composant WebKit d'Apple permet à un attaquant non authentifié d'injecter du code dans l'interface Web (injection XSS). Celui-ci, exécuté dans le navigateur de la...
https://cyberveille.esante.gouv.fr/alertes/apple-cve-2024-44309-2024-11-20
Partager : LinkedIn / Twitter / Facebook / View / View (lite)

Google Chrome - CVE-2024-11395
Une vulnérabilité de type « Confusion de types » dans le moteur V8 de Google Chrome permet à un attaquant non authentifié, en persuadant une victime de consulter un site web...
https://cyberveille.esante.gouv.fr/alertes/google-chrome-cve-2024-11395-2024-11-20
Partager : LinkedIn / Twitter / Facebook / View / View (lite)