Changer l'apparence
Alertes: Cyclades AlterPath Manager 1.x
Impact(s) : Révélation d'informations sensibles / Contournement de règles de sécurité
Solution : Pas de mise à jour disponible
Exploit : Disponible
ZATAZ ID : ASZ-2005-417
Localisation(s) : Réseau local
Date de découverte : 24.02.2005
Un utilisateur du réseau local malveillant pourrait contourner certaines règles de sécurité et récupérer des informations sensibles par le biais de ces vulnérabilités.
sullo a rapporté des vulnérabilités pour AlterPath Manager 1.x
Une erreur dans les restrictions des consoles dans "consoleConnect.jsp" peut être exploitée pour se connecter à des consoles arbitraires en spécifiant un nom de console dans le paramètre "consolename".
Un utilisateur peut spécifier le paramètre "adminUser" dans le script "saveUser.do" et par ce biais gagner les privilèges administratifs lorsque le compte utilisateur est sauvegarder en spécifiant le paramètre "adminUser" à "true".
La page "/about.html" peut être accédée sans autorisation, ce qui peut permettre de récupérer des informations sensibles sur le système.
Les vulnérabilités ont été rapportées pour la version 1.2.1 et précédentes. D'autres versions peuvent être affectées.
Les vulnérabilités seront résolues dans la version 1.2.5
Lien(s) Associé(s) :
Auteur(s) Associé(s) : sullo ( 1 )
Veuillez noter que les informations diffusées par ZATAZ.net dans le cadre de sa rubrique Alertes ont comme
provenance des parties tierces.
ZATAZ.net collecte, valide et vérifie les vulnérabilités diffusées par les fournisseurs, groupes de recherches
spécialisés dans la sécurité informatique, etc.
Si vous désirez nous envoyer des alertes de sécurité que vous avez découvertes, contactez-nous sur alertes@zataz.net