Vigil@nce : APC NMC, vulnérabilités de l’interface web
janvier 2010 par Vigil@nce
Un attaquant peut provoquer un Cross Site Scripting et un Cross
Site Request Forgery sur les produits APC Network Management Card.
– Gravité : 2/4
– Conséquences : accès/droits privilégié, accès/droits client
– Provenance : document
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 29/12/2009
PRODUITS CONCERNÉS
– APC PowerChute Network Shutdown
DESCRIPTION DE LA VULNÉRABILITÉ
Le logiciel APC PowerChute Network Shutdown utilise des cartes APC
UPS Network Management Card pour gérer l’extinction des systèmes.
Les cartes APC NMC sont équipées d’un serveur web d’administration.
Cependant, ce site web n’est pas protégé contre les attaques de
type Cross Site Scripting ou Cross Site Request Forgery.
Un attaquant peut donc inviter la victime à consulter une page web
illicite, afin de faire exécuter des commandes d’administration
sur APC NMC.
CARACTÉRISTIQUES
– Références : 10887, BID-37338, CVE-2009-1797, CVE-2009-1798,
CVE-2009-4406, VIGILANCE-VUL-9311
– Url : http://vigilance.fr/vulnerabilite/APC-NMC-vulnerabilites-de-l-interface-web-9311