Vigil@nce - Apache Tomcat : Cross Site Request Forgery via Manager / Host Manager
avril 2016 par Vigil@nce
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer un Cross Site Request Forgery de
Apache Tomcat, afin de forcer la victime à effectuer des
opérations.
Produits concernés : Tomcat, Debian, openSUSE Leap, SUSE Linux
Enterprise Desktop, SLES.
Gravité : 2/4.
Date création : 22/02/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Apache Tomcat dispose d’un service web, normalement
protégé contre les Cross Site Request Forgery.
Cependant, le jeton CSRF peut être obtenu grâce à une
redirection des applications Manager et Host Manager.
Un attaquant peut donc provoquer un Cross Site Request Forgery de
Apache Tomcat, afin de forcer la victime à effectuer des
opérations.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET