– Gravité : 2/4
– Conséquences : accès/droits privilégié, accès/droits client
– Provenance : document
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 29/12/2009

PRODUITS CONCERNÉS

– APC PowerChute Network Shutdown

DESCRIPTION DE LA VULNÉRABILITÉ

Le logiciel APC PowerChute Network Shutdown utilise des cartes APC
UPS Network Management Card pour gérer l’extinction des systèmes.

Les cartes APC NMC sont équipées d’un serveur web d’administration.

Cependant, ce site web n’est pas protégé contre les attaques de
type Cross Site Scripting ou Cross Site Request Forgery.

Un attaquant peut donc inviter la victime à consulter une page web
illicite, afin de faire exécuter des commandes d’administration
sur APC NMC.

CARACTÉRISTIQUES

– Références : 10887, BID-37338, CVE-2009-1797, CVE-2009-1798,
CVE-2009-4406, VIGILANCE-VUL-9311
– Url : http://vigilance.fr/vulnerabilite/APC-NMC-vulnerabilites-de-l-interface-web-9311