Sécurité
Pages enfant
  • ESUP-2022-AVI-001 - CVE-2022-22965

Comparaison des versions

Ancienne version 1

changes.mady.by.user Vincent Bonamy

Sauvegardée le

comparé à

Nouvelle version 2

changes.mady.by.user Vincent Bonamy

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

L'exploitation de la faille telle que proposée dans les scripts POC consiste :

  • identifier une url (dédiée à un POST avec désérialisation d'objet) comme vulnérable
  • envoyer en POST le contenu serialisé d'un objet dont la désérialisation peut provoquer l'écriture sur le serveur d'application d'un fichier
  • ce fichier peut correspondre à une jsp qui peut permettre d'exécuter un code arbitraire sur le serveur.

...

  • le mieux est de mettre à jour les librairies spring et donc les applications proposant ces mises à jour

  • on peut aussi repasser sur l'usage d'un openjdk 8 puisque seules les versions supérieures sont censées permettre l'exploit

...

EsupDematEC 1.9.0 déployée sur un Tomcat avec un jdk11 
EsupDematEC 1.9.1 embarque les librairies spring à jour 

Applications potentiellement concernées

...