Risque
Exécution de code arbitraire à distance.
Systèmes affectés
Apache Tomcat, versions 4.0.x, 4.1.x, 5.0.x, 5.5.x, 6.0.xRésumé
Une vulnérabilité dans les applications d'administration de Tomcat et dans des exemples d'application permet d'exécuter du code à distance sur les postes des utilisateurs.
Description
Une vulnérabilité est présente dans des fichiers JSP d'exemples d'application et dans les applications d'administration de Tomcat, Manager et Host Manager. Le manque de filtrage des données entrées permet de réaliser des injections de code indirectes (cross-site scripting). Le code est exécuté sur le poste de l'utilisateur connecté à l'application vulnérable, avec les droits octroyés au site.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Apache Tomcat :
http://www.apache.org/security-6.html
http://www.apache.org/security-5.html
http://www.apache.org/security-4.html
- Référence CVE CVE-2007-2449 :
https://www.cve.org/CVERecord?id=CVE-2007-2449
- Référence CVE CVE-2007-2450 :
https://www.cve.org/CVERecord?id=CVE-2007-2450