Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Apache Tomcat, versions 4.0.x, 4.1.x, 5.0.x, 5.5.x, 6.0.x
Résumé
Une vulnérabilité dans les applications d'administration de Tomcat et dans des exemples d'application permet d'exécuter du code à distance sur les postes des utilisateurs.
Description
Une vulnérabilité est présente dans des fichiers JSP d'exemples d'application et dans les applications d'administration de Tomcat, Manager et Host Manager. Le manque de filtrage des données entrées permet de réaliser des injections de code indirectes (cross-site scripting). Le code est exécuté sur le poste de l'utilisateur connecté à l'application vulnérable, avec les droits octroyés au site.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Apache Tomcat : http://www.apache.org/security-5.html
- Bulletin de sécurité Apache Tomcat : http://www.apache.org/security-4.html
- Bulletin de sécurité Apache Tomcat : http://www.apache.org/security-6.html
- Référence CVE CVE-2007-2449 https://www.cve.org/CVERecord?id=CVE-2007-2449
- Référence CVE CVE-2007-2450 https://www.cve.org/CVERecord?id=CVE-2007-2450