Le pôle RDI (Recherche Développement et Innovation) d’XMCO recherche des vulnérabilités dans des logiciels OpenSource. Ces derniers mois, notre équipe a découvert 4 vulnérabilités non référencées sur deux produits, vulnérabilités remontées aux éditeurs puis corrigées par ces derniers.
OCS Inventory
3 vulnérabilités identifiées sur le logiciel OCS Inventory permettent par combinaison de prendre le contrôle du serveur :
- Injection de code JavaScript (XSS) en boite noire , permettant d’obtenir un accès sur le backoffice ;
- Injection SQL en boite grise, permettant d’élever ses privilèges sur l’applicatif ;
- Exécution de code à distance sur le système sous-jacent en boite grise via la fonctionnalité SNMP.
Grav CMS
1 vulnérabilité identifiée sur le plug-in Highlight Prism du CMS Grav permet de lire des fichiers arbitraires sur le système via l’exploitation d’une SSRF.
Cette vulnérabilité mène notamment à une élévation de privilèges sur le backoffice du CMS.
