Vigil@nce - Adobe LiveCycle Data Services : Server Side Request Forgery de BlazeDS
janvier 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer un Server Side Request Forgery dans
BlazeDS de Adobe LiveCycle Data Services, afin d’accéder à des
services web filtrés.
– Produits concernés : Adobe LiveCycle.
– Gravité : 2/4.
– Date création : 18/11/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Adobe LiveCycle Data Services utilise BlazeDS pour
échanger des messages dans flex-messaging-core.jar.
Cependant, à l’aide de données XML spéciales, un attaquant peut
forcer BlazeDS à envoyer une requête vers un serveur privé.
Cette vulnérabilité de BlazeDS est décrite dans
VIGILANCE-VUL-18568.
Un attaquant peut donc provoquer un Server Side Request Forgery
dans BlazeDS de Adobe LiveCycle Data Services, afin d’accéder à
des services web filtrés.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET