Risque

Injection de code indirecte à distance.

Systèmes affectés

  • Apache Tomcat 7.0.0 à 7.0.4 ;
  • Apache Tomcat 6.0.12 à 6.0.29.

Résumé

Des vulnérabilités ont été découvertes dans Apache Tomcat. Elles permettent à un utilisateur de faire de l'injection de code indirecte à distance.

Description

Apache Tomcat n'assainit pas correctement les entrées passées via les paramètres short et order by dans sessionsList.jsp. Cette vulnérabilité peut être exploitée par un utilisateur pour faire de l'injection de code indirecte à distance.

Solution

Les versions corrigées sont disponibles sur le serveur subversion de Apache, en attendant la sortie des versions 7.0.5 et 6.0.30. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation