Le fichier de configuration peut exécuter du code (4.2.1 -> 4.3.7)

Sévérité

faible

Produit affecté

De la version 4.2.1 à la version 4.3.7.

Description

Suite à la CVE-2022-33980, un accès en écriture sur le fichier de configuration de Carto-SI permet d'exécuter un code arbitraire.

Solution

Mise à jour du logiciel Carto-SI à la version 4.3.8 ou supérieure.

Référence

CVE-2022-33980 : Apache Commons Configuration

Historique

• 19/06/2022 : prise de connaissance de la vulnérabilité.

• 20/06/2022 : mise à disposition du correctif.