Le pôle RDI (Recherche Développement et Innovation) d’XMCO recherche des vulnérabilités dans des logiciels OpenSource. Ces derniers mois, notre équipe a découvert 4 vulnérabilités non référencées sur deux produits, vulnérabilités remontées aux éditeurs puis corrigées par ces derniers.
OCS Inventory
3 vulnérabilités identifiées sur le logiciel OCS Inventory permettent par combinaison de prendre le contrôle du serveur :
- Injection de code JavaScript (XSS) en boite noire , permettant d’obtenir un accès sur le backoffice ;
- Injection SQL en boite grise, permettant d’élever ses privilèges sur l’applicatif ;
- Exécution de code à distance sur le système sous-jacent en boite grise via la fonctionnalité SNMP.
Grav CMS
1 vulnérabilité identifiée sur le plug-in Highlight Prism du CMS Grav permet de lire des fichiers arbitraires sur le système via l’exploitation d’une SSRF.
Cette vulnérabilité mène notamment à une élévation de privilèges sur le backoffice du CMS.
Découvrir d'autres articles
-
Cyber Threat IntelligenceRetour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien
Lire l'article -
Actualités et veille en cybersécuritéExploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing
Lire l'article -
Actualités et veille en cybersécurité10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA
Lire l'article