Lundi, l’agence am\u00e9ricaine de cybers\u00e9curit\u00e9 et de s\u00e9curit\u00e9 des infrastructures ajout\u00e9e<\/a> deux failles de s\u00e9curit\u00e9, dont le bogue d’ex\u00e9cution de code \u00e0 distance r\u00e9cemment divulgu\u00e9 affectant les pare-feu Zyxel, \u00e0 son Catalogue des vuln\u00e9rabilit\u00e9s exploit\u00e9es connues<\/a>citant des preuves d’exploitation active.<\/p>\n Suivie sous le nom de CVE-2022-30525, la vuln\u00e9rabilit\u00e9 est class\u00e9e 9,8 pour la gravit\u00e9 et concerne une faille d’injection de commande dans certaines versions du pare-feu Zyxel qui pourrait permettre \u00e0 un adversaire non authentifi\u00e9 d’ex\u00e9cuter des commandes arbitraires sur le syst\u00e8me d’exploitation sous-jacent.<\/p>\n Les appareils concern\u00e9s incluent –<\/p>\n Le probl\u00e8me, pour lequel des correctifs ont \u00e9t\u00e9 publi\u00e9s par la firme ta\u00efwanaise fin avril (ZLD V5.30), est devenu public le 12 mai \u00e0 la suite d’un processus de divulgation coordonn\u00e9 avec Rapid7.<\/p>\n \u00c0 peine un jour plus tard, la Fondation Shadowserver mentionn\u00e9<\/a> il a commenc\u00e9 \u00e0 d\u00e9tecter les tentatives d’exploitation, la plupart des appareils vuln\u00e9rables \u00e9tant situ\u00e9s en France, en Italie, aux \u00c9tats-Unis, en Suisse et en Russie.<\/p>\n \u00c9galement ajout\u00e9 par CISA au catalogue est CVE-2022-22947<\/a>une autre vuln\u00e9rabilit\u00e9 d’injection de code dans Spring Cloud Gateway qui pourrait \u00eatre exploit\u00e9e pour permettre une ex\u00e9cution \u00e0 distance arbitraire sur un h\u00f4te distant au moyen d’une requ\u00eate sp\u00e9cialement con\u00e7ue.<\/p>\n La vuln\u00e9rabilit\u00e9 est not\u00e9e 10 sur 10 sur le syst\u00e8me de notation des vuln\u00e9rabilit\u00e9s CVSS et a depuis \u00e9t\u00e9 adress\u00e9<\/a> dans Spring Cloud Gateway versions 3.1.1 ou ult\u00e9rieures et 3.0.7 ou ult\u00e9rieures \u00e0 partir de mars 2022.<\/p>\n <\/p>\n<\/div>\n\n