Securinfos : A-A-S Application Access Server Requête Cross-Site ForgXe Vulnérabilité
mai 2009 par Securinfos
Une vulnérabilité a été identifiée dans A-A-S Application Access Server, qui pourrait être exploitée par des personnes malintentionnées pour conduire des attaques par requêtes cross-site forgées.
Le "Application’s web interface" permet aux utilisateurs de réaliser certaines actions via des requêtes HTTP sans réaliser aucune vérification de validités pour vérifier les requêtes. Cela pourrait être exploité pour par ex. exécuter des commandes arbitraires ou tuer un processus arbitraire quand un administrateur authentifié consulte une page web malicieuse.
La vulnérabilité est confirmée en version 2.0.48. Les autres versions pourraient également être affectées.