Vigil@nce - Zope : vulnérabilités de AccessControl
septembre 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer deux vulnérabilités de AccessControl,
afin d’accéder à Zope.
Produits concernés : Unix (plateforme), Zope
Gravité : 2/4
Date création : 10/09/2012
DESCRIPTION DE LA VULNÉRABILITÉ
Le module AccessControl gère l’authentification de Zope2. Il
comporte deux vulnérabilités.
Un module restreint peut importer du code. [grav:2/4 ; 1047318]
Un attaquant peut modifier la variable rolesForPermissionOn de
ZopeSecurityPolicy.py. [grav:2/4]
Un attaquant peut donc employer deux vulnérabilités de
AccessControl, afin d’accéder à Zope.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Zope-vulnerabilites-de-AccessControl-11926