Maison du Numérique et de l’Innovation Place Georges Pompidou 83000 Toulon
04 94 05 55 50
info@c2rcsud.org

Vulnérabilités de Apache

Centre Ressources Régional Cyber

29/03/2022 CVE-2022-26779 (V078/2022-03-15/C2RC) Apache CloudStack avant la version 4.16.1.0 utilisait une génération de nombres aléatoires non sécurisée pour les jetons d'invitation de projet. Si une invitation à un projet est créée uniquement sur la base d'une adresse e-mail, un jeton aléatoire est généré. Un attaquant connaissant l'ID du projet et le fait que l'invitation est envoyée, pourrait générer des jetons déterministes temporels et tenter de les utiliser par force brute avant que le destinataire légitime n'accepte l'invitation. Cette fonctionnalité n'est pas activée par défaut, l'attaquant doit connaître ou deviner l'ID de projet pour l'invitation en plus du jeton d'invitation, et l'attaquant doit être un utilisateur autorisé existant de CloudStack. Correctif
29/03/2022 CVE-2022-26336 (V077/2022-03-04 /C2RC) Une faille dans le package HMEF de poi-scratchpad (Apache POI) permet à un attaquant de provoquer une exception Out of Memory. Ce package est utilisé pour lire les fichiers TNEF (Microsoft Outlook et Microsoft Exchange Server). Si une application utilise poi-scratchpad pour analyser les fichiers TNEF et que l'application autorise les utilisateurs non fiables à les fournir, un fichier soigneusement conçu peut provoquer une exception Mémoire insuffisante. Ce problème affecte poi-scratchpad version 5.2.0 et les versions antérieures. Il est recommandé aux utilisateurs de mettre à niveau vers poi-scratchpad 5.2.1. Correctif
29/03/2022 CVE-2022-25312 (V076/2022-03-05/C2RC) Une vulnérabilité d'injection d'entité externe XML (XXE) a été découverte dans l'extracteur Any23 RDFa XSLTStylesheet et est connue pour affecter les versions Any23 < 2.7. L'injection d'entité externe XML (également connue sous le nom de XXE) est une vulnérabilité de sécurité Web qui permet à un attaquant d'interférer avec le traitement des données XML par une application. Cela permet souvent à un attaquant d'afficher des fichiers sur le système de fichiers du serveur d'applications et d'interagir avec n'importe quel système dorsal ou externe auquel l'application elle-même peut accéder. Ce problème est résolu dans Apache Any23 2.7. Correctif
29/03/2022 CVE-2022-24948 (V075/2022-02-25/C2RC) Des préférences utilisateur soigneusement conçues pour la soumission pourraient déclencher une vulnérabilité XSS sur Apache JSPWiki, liée à l'écran des préférences utilisateur, ce qui pourrait permettre à l'attaquant d'exécuter du javascript dans le navigateur de la victime et d'obtenir des informations sensibles sur la victime. Les utilisateurs d'Apache JSPWiki doivent passer à la version 2.11.2 ou ultérieure. Correctif
29/03/2022 CVE-2022-24947 (V074/2022-02-25 /C2RC) Le formulaire de préférences utilisateur Apache JSPWiki est vulnérable aux attaques CSRF, qui peuvent entraîner la prise de contrôle de compte. Les utilisateurs d'Apache JSPWiki doivent passer à la version 2.11.2 ou ultérieure. Correctif
29/03/2022 CVE-2022-24289 (V073/2022-02-11/C2RC) La sérialisation hessienne est un protocole réseau qui prend en charge la transmission basée sur les objets. La fonction optionnelle Remote Object Persistence (ROP) d'Apache Cayenne est une technologie basée sur les services Web qui fournit la persistance des objets et la fonctionnalité de requête aux applications "distantes". Dans Apache Cayenne 4.1 et versions antérieures, s'exécutant sur des versions de correctifs non actuelles de Java, un attaquant disposant d'un accès client à Cayenne ROP peut transmettre une charge utile malveillante à toute dépendance tierce vulnérable sur le serveur. Cela peut entraîner l'exécution de code arbitraire. Correctif
29/03/2022 CVE-2022-24288 (V072/2022-02-25/C2RC) Dans Apache Airflow, avant la version 2.2.4, certains exemples de DAG ne nettoyaient pas correctement les paramètres fournis par l'utilisateur, ce qui les rendait sensibles à l'injection de commande du système d'exploitation à partir de l'interface utilisateur Web. Correctif
29/03/2022 CVE-2022-24112 (V071/2022-02-11/C2RC) Un attaquant peut abuser du plugin batch-requests pour envoyer des requêtes afin de contourner la restriction IP de l'API Admin. Une configuration par défaut d'Apache APISIX (avec la clé API par défaut) est vulnérable à l'exécution de code à distance. Lorsque la clé d'administration a été modifiée ou que le port de l'API d'administration a été remplacé par un port différent du panneau de données, l'impact est moindre. Mais il existe toujours un risque de contourner la restriction IP du panneau de données d'Apache APISIX. Il y a une vérification dans le plugin batch-requests qui remplace l'adresse IP du client par sa véritable adresse IP distante. Mais en raison d'un bogue dans le code, cette vérification peut être contournée. Correctif
29/03/2022 CVE-2022-23945 (V070/2022-01-25/C2RC) Authentification manquante sur ShenYu Admin lors de l'enregistrement par HTTP. Ce problème affectait Apache ShenYu 2.4.0 et 2.4.1. Correctif
29/03/2022 CVE-2022-23944 (V069/2022-01-25/C2RC) L'utilisateur peut accéder à /plugin api sans authentification. Ce problème affectait Apache ShenYu 2.4.0 et 2.4.1. Correctif