Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

Apache Tomcat, versions 4.0.x, 4.1.x, 5.0.x, 5.5.x, 6.0.x

Résumé

Une vulnérabilité dans les applications d'administration de Tomcat et dans des exemples d'application permet d'exécuter du code à distance sur les postes des utilisateurs.

Description

Une vulnérabilité est présente dans des fichiers JSP d'exemples d'application et dans les applications d'administration de Tomcat, Manager et Host Manager. Le manque de filtrage des données entrées permet de réaliser des injections de code indirectes (cross-site scripting). Le code est exécuté sur le poste de l'utilisateur connecté à l'application vulnérable, avec les droits octroyés au site.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation