Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - Apache Tomcat : accès en lecture et écriture via setGlobalContext

avril 2016 par Vigil@nce

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant, autorisé à déposer une application web illicite
sur le service, peut contourner les restrictions d’accès via
setGlobalContext de Apache Tomcat, afin de lire ou modifier des
données.

Produits concernés : Tomcat, Debian, Fedora, openSUSE Leap, SUSE
Linux Enterprise Desktop, SLES.

Gravité : 2/4.

Date création : 22/02/2016.

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit Apache Tomcat peut exécuter une application web de
provenance incertaine avec un Security Manager.

Cependant, une application malveillante peut appeler
ResourceLinkFactory.setGlobalContext() pour injecter un contexte
dans une autre application, et accéder à ses données.

Un attaquant, autorisé à déposer une application web illicite
sur le service, peut donc contourner les restrictions d’accès via
setGlobalContext de Apache Tomcat, afin de lire ou modifier des
données.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

https://vigilance.fr/vulnerabilite/Apache-Tomcat-acces-en-lecture-et-ecriture-via-setGlobalContext-18999


Voir les articles précédents

    

Voir les articles suivants