Ce sont des bibliothèques ou des cadres tiers utilisés dans les applications web qui présentent des vulnérabilités connues ou qui ne sont plus pris en charge par leurs développeurs. Ces vulnérabilités peuvent permettre à un attaquant d’exploiter l’application et d’accéder à des données sensibles ou de compromettre le système.

Exemples de composant vulnérable

C'est l'exécution à distance de Struts 2 (CVE-2017-5638) qui a permis l’exécution de code arbitraire sur le serveur et a été responsable d’importantes violations. 

Un autre exemple est une vulnérabilité d’injection SQL de Drupal (CVE-2018-7600) qui a permis à un attaquant de prendre le contrôle du site web.

https://struts.apache.org/index.html

Pour éviter ces risques

  • Connaître les composants internes de l’application, leurs versions et s’ils sont mis à jour
  • Suivre les alertes de sécurité des fournisseurs. 
  • Utiliser des outils de scan de vulnérabilités ou de gestion des dépendances pour détecter les composants obsolètes ou vulnérables.

 

 

Modifié le: jeudi 19 octobre 2023, 08:23