Ce mois-ci, le CERT aDvens met en exergue trois vulnérabilités affectant des technologies fréquemment utilisées au sein des entreprises. Elles sont présentées par ordre de gravité (preuves de concept disponibles, exploitation …). L’application de leurs correctifs ou contournements est fortement recommandée.
2.1. CVE-2024-29212
Le 7 mai 2024, Veeam a publié un bulletin de sécurité concernant une vulnérabilité critique dans Veeam Service Provider Console et publié des correctifs appropriés. Ces derniers ont été encore affinés et le bulletin mis à jour le 28 mai 2024. Une désérialisation non sécurisée dans le serveur Veeam Service Provider Console (VSPC) permet à un attaquant authentifié, en envoyant des requêtes spécifiquement forgées, d’exécuter du code arbitraire.
CTI Report mensuel disponible en anglais