L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de jQuery Core : Cross Site Scripting via HtmlPrefilter Regex

Synthèse de la vulnérabilité 

Un attaquant peut provoquer un Cross Site Scripting via HtmlPrefilter Regex de jQuery Core, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits impactés : Business Objects, Cacti, Debian, Drupal Core, BIG-IP Hardware, TMOS, Fedora, FreeIPA, IBM API Connect, Joomla! Core, jQuery Core, Nodejs Modules ~ non exhaustif, openSUSE Leap, Oracle Communications, Solaris, SAP CRM, SAP ERP, NetWeaver, SUSE Linux Enterprise Desktop, SLES, ASE, Telerik.Web.UI, Nessus.
Gravité de ce bulletin : 2/4.
Nombre de vulnérabilités dans ce bulletin : 2.
Date de création : 14/04/2020.
Références de cette menace : 20200601, 20200602, 20200603, 20200604, 20200605, 6217392, 6253319, CERTFR-2020-AVI-310, CERTFR-2020-AVI-335, cpujul2020, CVE-2020-11022, CVE-2020-11023, DRUPAL-SA-CORE-2020-002, DRUPAL-SA-CORE-2020-003, DSA-4693-1, FEDORA-2020-0b32a59b54, FEDORA-2020-11be4b36d4, FEDORA-2020-7dddce530c, FEDORA-2020-8a15713da2, FEDORA-2020-fbb94073a1, K02453220, K66544153, NPM-1518, openSUSE-SU-2020:1060-1, openSUSE-SU-2020:1106-1, VIGILANCE-VUL-32007.

Description de la vulnérabilité 

Un attaquant peut provoquer un Cross Site Scripting via HtmlPrefilter Regex de jQuery Core, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette vulnérabilité cybersécurité concerne les logiciels ou systèmes comme Business Objects, Cacti, Debian, Drupal Core, BIG-IP Hardware, TMOS, Fedora, FreeIPA, IBM API Connect, Joomla! Core, jQuery Core, Nodejs Modules ~ non exhaustif, openSUSE Leap, Oracle Communications, Solaris, SAP CRM, SAP ERP, NetWeaver, SUSE Linux Enterprise Desktop, SLES, ASE, Telerik.Web.UI, Nessus.

Notre équipe Vigil@nce a déterminé que la gravité de cette menace sécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 2 vulnérabilités.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence spécialiste peut exploiter cette annonce sécurité.

Solutions pour cette menace 

jQuery Core : version 3.5.0.
La version 3.5.0 est corrigée :
  http://jquery.com/download/

Cacti : version 1.2.13.
La version 1.2.13 est corrigée :
  https://github.com/cacti/

Debian 9 : nouveaux paquetages drupal7.
De nouveaux paquetages sont disponibles :
  Debian 9 : drupal7 7.52-2+deb9u10

Drupal Core : version 7.70.
La version 7.70 est corrigée :
  https://www.drupal.org/project/drupal

Drupal Core : version 8.7.14.
La version 8.7.14 est corrigée :
  https://www.drupal.org/project/drupal

Drupal Core : version 8.8.6.
La version 8.8.6 est corrigée :
  https://www.drupal.org/project/drupal

F5 BIG-IP : solution pour jQuery CVE-2020-11022.
La solution est indiquée dans les sources d'information.

F5 BIG-IP : solution pour jQuery CVE-2020-11023.
La solution est indiquée dans les sources d'information.

Fedora 31-32 : nouveaux paquetages cacti.
De nouveaux paquetages sont disponibles :
  Fedora 31 : cacti 1.2.13-1.fc31
  Fedora 32 : cacti 1.2.13-1.fc32

Fedora 31-32 : nouveaux paquetages drupal7.
De nouveaux paquetages sont disponibles :
  Fedora 31 : drupal7 7.72-1.fc31
  Fedora 32 : drupal7 7.72-1.fc32

Fedora 32 : nouveaux paquetages drupal7.
De nouveaux paquetages sont disponibles :
  Fedora 32 : drupal7 7.70-1.fc32

FreeIPA : version 4.8.7.
La version 4.8.7 est corrigée :
  https://www.freeipa.org/page/Releases/4.8.7
  https://www.freeipa.org/page/Downloads

IBM API Connect : patch pour Drupal.
Un patch est indiqué dans les sources d'information.

IBM API Connect : versions corrigées pour jQuery.
Les versions corrigées sont indiquées dans les sources d'information.

Joomla Core : version 3.9.19.
La version 3.9.19 est corrigée :
  https://downloads.joomla.org/

Nessus : version 8.11.1.
La version 8.11.1 est corrigée :
  https://www.tenable.com/

openSUSE, SUSE LE : nouveaux paquetages cacti.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 15.1 : cacti 1.2.13-lp151.3.12.1
  openSUSE Leap 15.2 : cacti 1.2.13-lp152.2.3.1
  SUSE LE 12 RTM-SP5 : cacti 1.2.13-11.1

Oracle Communications : CPU de juillet 2020.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2681987.1
  https://support.oracle.com/rs?type=doc&id=2682459.1
  https://support.oracle.com/rs?type=doc&id=2682014.1
  https://support.oracle.com/rs?type=doc&id=2683787.1
  https://support.oracle.com/rs?type=doc&id=2683788.1
  https://support.oracle.com/rs?type=doc&id=2683789.1
  https://support.oracle.com/rs?type=doc&id=2682045.1
  https://support.oracle.com/rs?type=doc&id=2683831.1
  https://support.oracle.com/rs?type=doc&id=2682010.1
  https://support.oracle.com/rs?type=doc&id=2683832.1
  https://support.oracle.com/rs?type=doc&id=2682500.1
  https://support.oracle.com/rs?type=doc&id=2683241.1
  https://support.oracle.com/rs?type=doc&id=2682011.1
  https://support.oracle.com/rs?type=doc&id=2683840.1
  https://support.oracle.com/rs?type=doc&id=2682018.1
  https://support.oracle.com/rs?type=doc&id=2683841.1
  https://support.oracle.com/rs?type=doc&id=2683842.1
  https://support.oracle.com/rs?type=doc&id=2683843.1
  https://support.oracle.com/rs?type=doc&id=2683845.1

Oracle Solaris : patch pour logiciels tiers de juillet 2020 v2.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

SAP : solution de août 2020.
La solution est disponible sur le site SAP :
  https://support.sap.com/kb-incidents/notifications/security-notes.html

SAP : solution de septembre 2020.
La solution est disponible sur le site SAP :
  https://support.sap.com/kb-incidents/notifications/security-notes.html

SUSE LE 15 SP1 : nouveaux paquetages cacti.
De nouveaux paquetages sont disponibles :
  SUSE LE 15 SP1 : cacti 1.2.13-bp151.4.12.1

Telerik UI for ASP.NET AJAX : version 2020.2.512.
La version 2020.2.512 est corrigée :
  https://www.telerik.com/support/whats-new/release-history
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une alerte de vulnérabilité informatique. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.