Retour sur les vulnérabilités ZeroDay découvertes par le pôle RDI

Retour sur les vulnérabilités ZeroDay découvertes par le pôle RDI

Le pôle RDI (Recherche Développement et Innovation) d’XMCO recherche des vulnérabilités dans des logiciels OpenSource. Ces derniers mois, notre équipe a découvert 4 vulnérabilités non référencées sur deux produits, vulnérabilités remontées aux éditeurs puis corrigées par ces derniers.

OCS Inventory

3 vulnérabilités identifiées sur le logiciel OCS Inventory permettent par combinaison de prendre le contrôle du serveur :

  • Injection de code JavaScript (XSS) en boite noire , permettant d’obtenir un accès sur le backoffice ;
  • Injection SQL en boite grise, permettant d’élever ses privilèges sur l’applicatif ;
  • Exécution de code à distance sur le système sous-jacent en boite grise via la fonctionnalité SNMP.

Grav CMS

1 vulnérabilité identifiée sur le plug-in Highlight Prism du CMS Grav permet de lire des fichiers arbitraires sur le système via l’exploitation d’une SSRF.

Cette vulnérabilité mène notamment à une élévation de privilèges sur le backoffice du CMS.


Julien Terriac

Consultant XMCO