Vigil@nce - Apache Tomcat : obtention d’information via XML Parser
juin 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant, autorisé à installer une application web, peut
modifier le parseur XML utilisé par Apache Tomcat, afin d’obtenir
des informations sensibles.
Produits concernés : Tomcat
Gravité : 2/4
Date création : 27/05/2014
DESCRIPTION DE LA VULNÉRABILITÉ
Une application web peut modifier le parseur XML utilisé par
Apache Tomcat, ce qui conduit à deux vulnérabilités.
Un attaquant peut employer une entité XML externe, afin de
contourner les contraintes d’accès aux fichiers imposées par le
Security Manager. [grav:2/4]
Un attaquant peut consulter les fichiers XML analysés par les
autres applications web sur la même instance de Tomcat. [grav:2/4]
Un attaquant, autorisé à installer une application web, peut donc
modifier le parseur XML utilisé par Apache Tomcat, afin d’obtenir
des informations sensibles.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Apache-Tomcat-obtention-d-information-via-XML-Parser-14809