L’Agence am\u00e9ricaine de cybers\u00e9curit\u00e9 et de s\u00e9curit\u00e9 des infrastructures (CISA) le 2 f\u00e9vrier ajout\u00e9e<\/a> deux failles de s\u00e9curit\u00e9 dans son catalogue de vuln\u00e9rabilit\u00e9s exploit\u00e9es connues (KEV), citant des preuves d’exploitation active.<\/p>\n La premi\u00e8re des deux vuln\u00e9rabilit\u00e9s est CVE-2022-21587<\/a> (score CVSS : 9,8), probl\u00e8me critique affectant les versions 12.2.3 \u00e0 12.2.11 du produit Oracle Web Applications Desktop Integrator.<\/p>\n “Oracle E-Business Suite contient une vuln\u00e9rabilit\u00e9 non sp\u00e9cifi\u00e9e qui permet \u00e0 un attaquant non authentifi\u00e9 disposant d’un acc\u00e8s r\u00e9seau via HTTP de compromettre Oracle Web Applications Desktop Integrator”, CISA a dit<\/a>.<\/p>\n Le probl\u00e8me a \u00e9t\u00e9 trait\u00e9 par Oracle dans le cadre de son Mise \u00e0 jour du correctif critique<\/a> publi\u00e9 en octobre 2022. On ne sait pas grand-chose sur la nature des attaques exploitant la vuln\u00e9rabilit\u00e9.<\/p>\n La deuxi\u00e8me faille de s\u00e9curit\u00e9 \u00e0 ajouter au catalogue KEV est CVE-2023-22952<\/a> (score CVSS\u00a0: 8,8), qui concerne un cas de validation d’entr\u00e9e manquante dans SugarCRM pouvant entra\u00eener l’injection de code PHP arbitraire. Le bogue a \u00e9t\u00e9 corrig\u00e9 dans les versions 11.0.5 et 12.0.2 de SugarCRM.<\/p>\n Le d\u00e9veloppement intervient une semaine apr\u00e8s que CISA a \u00e9galement ajout\u00e9 CVE-2017-11357<\/a> (score CVSS\u00a0: 9,8), une grave vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 affectant l’interface utilisateur de Telerik qui pourrait faciliter le t\u00e9l\u00e9chargement de fichiers arbitraires ou l’ex\u00e9cution de code \u00e0 distance.<\/p>\n \u00c0 la lumi\u00e8re des tentatives d’exploitation actives, les agences du Federal Civilian Executive Branch (FCEB) aux \u00c9tats-Unis sont tenues d’appliquer les correctifs d’ici le 23 f\u00e9vrier 2023.<\/p>\n <\/p>\n