Vigil@nce : WebSphere AS, Cross Site Request Forgery
juillet 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer un Cross Site Request Forgery sur la
console d’administration web de WebSphere Application Server, afin
d’effectuer des opérations avec les privilèges de l’administrateur
connecté au site web.
– Gravité : 2/4
– Date création : 16/06/2011
PRODUITS CONCERNÉS
– IBM WebSphere Application Server
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit WebSphere Application Server peut être administré
depuis la console d’administration web (Integrated Solutions
Console).
Pour se protéger des attaques de type Cross Site Request Forgery,
WebSphere AS emploie la variable "csrfid" dans tous les
formulaires HTTP POST, et vérifie sa valeur avant d’effectuer les
opérations demandées.
Cependant, deux pages ne sont pas protégées par "csrfid" :
– "Security > Global Security" (qui contient les options
"Administrative Security", "Application Security" et "Java 2
Security")
– "Save changes to the master configuration"
Un attaquant peut donc employer un Cross Site Request Forgery sur
la console d’administration web de WebSphere Application Server,
afin d’effectuer des opérations avec les privilèges de
l’administrateur connecté au site web.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/WebSphere-AS-Cross-Site-Request-Forgery-10754