Risque
- Exécution de code arbitraire à distance ;
- injection SQL ;
- atteinte à la confidentialité des données.
Systèmes affectés
CA Total Defense version r12.
Résumé
Des vulnérabilités dans CA Total Defense permettent l'exécution de code arbitraire à distance ainsi que des injections SQL.
Description
Plusieurs vulnérabilités ont été découvertes dans CA Total Defense :
- un mauvais filtrage des paramètres de certaines requêtes permet d'effectuer diverses injections SQL (CVE-2011-1653) ;
- les paramètres utilisés lors d'un dépôt de fichier ne sont pas correctement filtrés, ce qui peut mener à une exécution de code arbitraire à distance (CVE-2011-1654) ;
- certaines informations sensibles ne sont pas correctement protégées, ce qui permet la récupération d'identifiants de connexion (CVE-2011-1655).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité CA20110413-01 du 13 avril 2011 :
- Référence CVE CVE-2011-1653 :
- Référence CVE CVE-2011-1654 :
- Référence CVE CVE-2011-1655 :