Retour sur les vulnérabilités ZeroDay découvertes par le pôle RDI

Le pôle RDI (Recherche Développement et Innovation) d’XMCO recherche des vulnérabilités dans des logiciels OpenSource. Ces derniers mois, notre équipe a découvert 4 vulnérabilités non référencées sur deux produits, vulnérabilités remontées aux éditeurs puis corrigées par ces derniers.

OCS Inventory

3 vulnérabilités identifiées sur le logiciel OCS Inventory permettent par combinaison de prendre le contrôle du serveur :

  • Injection de code JavaScript (XSS) en boite noire , permettant d’obtenir un accès sur le backoffice ;
  • Injection SQL en boite grise, permettant d’élever ses privilèges sur l’applicatif ;
  • Exécution de code à distance sur le système sous-jacent en boite grise via la fonctionnalité SNMP.

Grav CMS

1 vulnérabilité identifiée sur le plug-in Highlight Prism du CMS Grav permet de lire des fichiers arbitraires sur le système via l’exploitation d’une SSRF.

Cette vulnérabilité mène notamment à une élévation de privilèges sur le backoffice du CMS.

CERT-XMCO

Découvrir d'autres articles