Vigil@nce - Blue Coat Content Analysis System : exécution de commandes shell via l’interface Web d’administration
juin 2017 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant authentifié peut utiliser l’interface Web
d’administration de Blue Coat Content Analysis System, afin de
faire exécuter des commandes shell arbitraires avec les droit
d’administration du système d’exploitation sous-jacent.
Produits concernés : Blue Coat CAS.
Gravité : 2/4.
Date création : 04/04/2017.
Date révision : 04/04/2017.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Blue Coat Content Analysis System dispose d’une console
web pour l’administration.
Cependant, les paramètres de requête HTTP ne sont pas vérifiés
correctement avant d’être utilisés pour construire des commandes
shell lancées sous le compte "root".
Un attaquant authentifié peut donc utiliser l’interface Web
d’administration de Blue Coat Content Analysis System, afin de
faire exécuter des commandes shell arbitraires avec les droit
d’administration du système d’exploitation sous-jacent.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET