L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de PCS

bulletin de vulnérabilité CVE-2019-11213

Pulse Connect Secure, Pulse Secure Desktop : obtention d'information via Session Cookies Reading

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Session Cookies Reading de Pulse Connect Secure et Pulse Secure Desktop, afin d'obtenir des informations sensibles.
Produits concernés : Pulse Connect Secure, Pulse Secure Client.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 12/04/2019.
Date révision : 12/04/2019.
Références : CVE-2019-11213, SA44114, VIGILANCE-VUL-29033, VU#192371.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Session Cookies Reading de Pulse Connect Secure et Pulse Secure Desktop, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2018-20807

Pulse Connect Secure : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Pulse Connect Secure, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Pulse Connect Secure.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 27/12/2018.
Références : CVE-2018-20807, SA43730, VIGILANCE-VUL-28114.

Description de la vulnérabilité

Le produit Pulse Connect Secure dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Pulse Connect Secure, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2018-18284

Ghostscript : exécution de code via 1Policy Operator

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via 1Policy Operator de Ghostscript, afin d'exécuter du code.
Produits concernés : Debian, Fedora, openSUSE Leap, Solaris, Pulse Connect Secure, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 22/10/2018.
Références : bulletinjan2019, CVE-2018-18284, DLA-1552-1, DSA-4336-1, FEDORA-2019-077a3f23c0, FEDORA-2019-82acb29c1b, openSUSE-SU-2018:4138-1, openSUSE-SU-2018:4140-1, RHSA-2018:3834-01, SA44101, SUSE-SU-2018:4087-1, SUSE-SU-2018:4090-1, USN-3803-1, VIGILANCE-VUL-27597.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via 1Policy Operator de Ghostscript, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2018-16510 CVE-2018-16511 CVE-2018-16513

Ghostscript : neuf vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Ghostscript.
Produits concernés : Debian, Fedora, openSUSE Leap, Pulse Connect Secure, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 9.
Date création : 10/09/2018.
Références : CVE-2018-16510, CVE-2018-16511, CVE-2018-16513, CVE-2018-16539, CVE-2018-16540, CVE-2018-16541, CVE-2018-16542, CVE-2018-16543, CVE-2018-16585, DLA-1504-1, DLA-1527-1, DLA-1527-2, DSA-4288-1, FEDORA-2018-28447b6f2e, FEDORA-2018-56221eb24b, FEDORA-2018-f1b1ed38b3, openSUSE-SU-2018:3036-1, openSUSE-SU-2018:3038-1, RHSA-2018:2918-01, RHSA-2018:3650-01, RHSA-2018:3834-01, RHSA-2019:0229-01, SA44101, SUSE-SU-2018:2975-1, SUSE-SU-2018:2976-1, SUSE-SU-2018:3330-1, USN-3768-1, USN-3773-1, VIGILANCE-VUL-27180.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Ghostscript.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-15908 CVE-2018-15910 CVE-2018-15911

Ghostscript : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Ghostscript.
Produits concernés : Debian, Fedora, openSUSE Leap, Pulse Connect Secure, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 10/09/2018.
Références : CVE-2018-15908, CVE-2018-15910, CVE-2018-15911, DLA-1504-1, DSA-4288-1, FEDORA-2018-28447b6f2e, FEDORA-2018-56221eb24b, FEDORA-2018-f1b1ed38b3, openSUSE-SU-2018:3036-1, openSUSE-SU-2018:3038-1, RHSA-2018:2918-01, RHSA-2018:3650-01, RHSA-2018:3834-01, SA44101, SUSE-SU-2018:2975-1, SUSE-SU-2018:2976-1, SUSE-SU-2018:3330-1, USN-3768-1, VIGILANCE-VUL-27179.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Ghostscript.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2018-14366 CVE-2018-20808 CVE-2018-20809

Pulse Connect Secure : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Pulse Connect Secure.
Produits concernés : Pulse Connect Secure.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 9.
Date création : 05/09/2018.
Références : CVE-2018-14366, CVE-2018-20808, CVE-2018-20809, CVE-2018-20810, CVE-2018-20811, CVE-2018-20812, CVE-2018-20813, CVE-2018-20814, CVE-2018-6320, SA43877, VIGILANCE-VUL-27152.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Pulse Connect Secure.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2018-15909

Ghostscript : exécution de code via Shfill Operator

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Shfill Operator de Ghostscript, afin d'exécuter du code.
Produits concernés : Debian, Fedora, openSUSE Leap, Solaris, Pulse Connect Secure, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 03/09/2018.
Références : bulletinjan2019, CVE-2018-15909, DLA-1504-1, FEDORA-2018-07083800ac, FEDORA-2018-28447b6f2e, FEDORA-2018-56221eb24b, FEDORA-2018-f1b1ed38b3, openSUSE-SU-2018:3036-1, openSUSE-SU-2018:3038-1, RHSA-2018:3650-01, SA44101, SUSE-SU-2018:2975-1, SUSE-SU-2018:2976-1, USN-3768-1, VIGILANCE-VUL-27128.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Shfill Operator de Ghostscript, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2018-9849

Pulse Secure Connect Secure : déni de service via Nested XML Entities

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Nested XML Entities de Pulse Secure Connect Secure, afin de mener un déni de service.
Produits concernés : Pulse Connect Secure.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service, déni de service du client.
Provenance : document.
Date création : 09/05/2018.
Références : CVE-2018-9849, SA43730, VIGILANCE-VUL-26086.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Nested XML Entities de Pulse Secure Connect Secure, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2018-5299

Pulse Connect Secure : buffer overflow via Web Server

Synthèse de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via Web Server de Pulse Connect Secure, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Pulse Connect Secure.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : client intranet.
Date création : 17/01/2018.
Références : CVE-2018-5299, SA43604, VIGILANCE-VUL-25094.

Description de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via Web Server de Pulse Connect Secure, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2017-17947

Pulse Connect Secure : Cross Site Scripting via custompage.cgi

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via custompage.cgi de Pulse Connect Secure, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Pulse Connect Secure.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 17/01/2018.
Références : CVE-2017-17947, SA43018, VIGILANCE-VUL-25092.

Description de la vulnérabilité

Le produit Pulse Connect Secure dispose d'un service web.

Cependant, les données reçues via custompage.cgi ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via custompage.cgi de Pulse Connect Secure, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur PCS :