Vigil@nce - WebSphere Application Server : élévation de privilèges via API Discovery
août 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut créer un document Swagger avec des références
externes via l’API "Discovery" de WebSphere Application Server,
afin d’élever ses privilèges.
Produits concernés : WebSphere AS.
Gravité : 2/4.
Date création : 30/06/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit WebSphere Application Server dispose d’une API pour le
développement.
Cependant, la fonction découverte de l’API fournit un niveau de
sécurité plus faible que prévu lors de l’utilisation de
références externes dans le document Swagger.
Un attaquant peut donc créer un document Swagger avec des
références externes via l’API "Discovery" de WebSphere
Application Server, afin d’élever ses privilèges.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET