Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Une application web illicite peut changer le parseur XML, et ainsi
accéder au fichier web.xml/context.xml d’une autre application.

Gravité : 2/4

Date création : 12/08/2011

PRODUITS CONCERNÉS

– Apache Tomcat

DESCRIPTION DE LA VULNÉRABILITÉ

Le serveur d’application Apache Tomcat charge successivement
toutes les applications web.

Chaque application possède un fichier WEB-INF/web.xml qui
configure les servlets. Le serveur Tomcat utilise un parseur XML
pour analyser ce fichier.

Cependant, la première application chargée peut remplacer le
parseur par défaut. Elle pourra ensuite lire les fichiers XML des
applications chargées par la suite.

Une application web illicite peut donc changer le parseur XML, et
ainsi accéder au fichier web.xml/context.xml d’une autre
application.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Apache-Tomcat-lecture-de-fichier-XML-10922