Sur cette page, nous vous informons sur :
- Failles de sécurité actuelles
- Produits DocBridge® concernés
- Réactions de Compart
- Étapes de résolution
Alertes de sécurité
et des informations importantes pour les clients
Alerte de sécurité importante
Pas de CVE – affectant Axios
Avril 2026
Compromis de la chaîne d'approvisionnement Axios npm
- Problème : Le 31 mars 2026, le package NPM d'Axios a été compromis dans le cadre d'une attaque sur la chaîne d'approvisionnement, avec des versions malveillantes (1.14.1 et 0.30.4) injectant une dépendance trojanisée pour déployer un cheval de Troie d'accès distant multiplateforme (RAT).
- Réponse de Compart : Nous avons immédiatement lancé une enquête sur l'impact sur nos produits et commencé à développer des contre-mesures dès leur découverte.
Détails à déplier - cliquez ici
Quels produits Compart sont concernés ?
Liste des produits impactés :
- Seulement si le produit a été installé avec npm entre le 31 mars 0:21 UTC et le 31 mars 03:29 UTC (par exemple en utilisant dbcs-installer ): DocBridge® Communication Suite (jusqu'à la version 1.5)
- Service Impress (jusqu'à la version 1.0.20260401)
Quelles actions Compart entreprend-il pour atténuer le risque ?
Étapes de réhabilitation
Si DocBridge Communication Suite (DBCS) ou Impress Service étaient installés entre le 31 mars 0:21 UTC et le 31 mars 03:29 UTC, vous pourriez être affecté par cette vulnérabilité. Dans ce cas, exécutez les étapes d'atténuation suivantes :
- Si le package compromis a été installé pendant cette période (ce qui peut être détecté par la dépendance ou le numéro de version malveillant), il est nécessaire de revenir à la version précédente doit être effectuée au plus vite et le système doit être mis en quarantaine et nettoyé pour supprimer le cheval de Troie d'accès distant (RAT).
- Pour les installations NPM, vous pouvez obtenir une liste des composants installés avec la liste de commandes npm — tous. Cette commande doit être exécutée dans le répertoire racine du paquet principal installé, par exemple impress-service. Sachez que vous obtenez la liste de la situation actuelle. Voir Post Mortem: axios npm supply chain compromise · Issue #10636 · axios/axios pour plus d'informations.
Note sur les autres produits Compart
Non affectés : Les autres produits Compart, en plus de ceux mentionnés ci-dessus, ne sont pas affectés par cette vulnérabilité. Cela concerne des produits comme le DocBridge Toolkit, Mill Classic, Mill Plus, Document Collector, FileCab, etc.
Actions immédiates recommandées
En général, nous recommandons les actions suivantes :
- Sécurité réseau : Empêcher l'accès public à Internet aux produits DocBridge concernés.
- Restrictions d'accès : Limitez l'accès aux ports réseau utilisés par les produits DocBridge et n'autorisez que les sources vérifiées.
- Vérification des adresses IP : Assurez-vous que seules les adresses IP vérifiées ont accès aux produits DocBridge.
- Restreindre les connexions externes : Limitez les connexions des serveurs externes aux adresses IP et domaines essentiels.
- Paramètres de l'équilibreur de charge : Étendez les restrictions réseau aux paramètres de l'équilibreur de charge, si utilisé.
Mesures de sécurité supplémentaires par Compart
- Systèmes informatiques internes : Nous avons vérifié tous les systèmes internes pour détecter des vulnérabilités et mis en place les mesures recommandées ainsi que les correctifs disponibles.
- Surveillance continue : Nous continuons à surveiller de près la situation et informerons rapidement nos clients de tout nouveau développement.
Alerte de sécurité importante
CVE-2023-46604 affectant Apache ActiveMQ
Novembre 2023 | CVE-2023-46604
Vulnérabilité de sécurité dans Apache ActiveMQ
- Problème : Une vulnérabilité de sécurité critique dans Apache ActiveMQ, identifiée comme CVE-2023-46604, a été récemment découverte.
- Réponse de Compart : Nous avons lancé une enquête immédiate sur l'impact de cette faille sur nos produits et avons commencé à développer des contre-mesures dès qu'elle a été découverte.
Détails à déplier - cliquez ici
Produits Compart concernés
List of impacted products:
- DocBridge® Pilot (jusqu'à la version 3.9.12)
- DocBridge® Mill Plus (jusqu'à la version 2.16.0)
- DocBridge® Auditrack (jusqu'à la version 1.6.0)
Etapes de remédiation
- Correctif : Contactez notre support via le portail client myCompart.
- Publication de correctifs : Compart fournit des versions de correctifs pour les produits concernés. Celles-ci peuvent être téléchargées sur le portail client myCompart.
- Lien : https://my.compart.com
Note sur les autres produits Compart
Non concernés : Les autres produits Compart, en plus de ceux mentionnés ci-dessus, ne sont pas affectés par cette vulnérabilité.
Actions immédiates recommandées
En général, nous recommandons les actions suivantes :
- Sécurité du réseau : Empêcher l'accès public à Internet aux produits DocBridge concernés.
- Restrictions d'accès : Limiter l'accès aux ports réseau utilisés par les produits DocBridge et n'autoriser que les sources vérifiées.
- Vérification des adresses IP : S'assurer que seules les adresses IP vérifiées ont accès aux produits DocBridge.
- Restriction des connexions externes : Limiter les connexions de serveurs externes aux adresses IP et domaines essentiels.
- Paramètres de l'équilibreur de charge : Étendre les restrictions du réseau aux paramètres de l'équilibreur de charge, s'il est utilisé.
Mesures de sécurité supplémentaires prises par Compart
- Systèmes informatiques internes : Nous avons vérifié tous les systèmes internes pour détecter les vulnérabilités et avons mis en œuvre les mesures recommandées et les correctifs disponibles.
- Surveillance continue : Nous continuons à suivre de près la situation et nous informerons rapidement nos clients de tout nouveau développement.
Notre préoccupation
- Nous essayons toujours d'agir dans les meilleurs délais et de résoudre en priorité les cas qui se présenteront à l'avenir.
- Si vous avez des questions, n'hésitez pas à prendre contact avec nous : Via votre interlocuteur personnel chez Compart ou via le formulaire ci-dessous.
Merci de votre demande.