Anomalie #21935: [Sécurité] Vulnérabilité brute force - Backlog RM - Maarch forge - Centre de support

Anomalie #21935

[Sécurité] Vulnérabilité brute force

Ajouté par Cyril VAZQUEZ il y a plus d'un an. Mis à jour il y a plus d'un an.

Statut:

Clôturé

Priorité:

1-Majeur

Assigné à:

Cyril VAZQUEZ

Version cible:

2.9.1

Début:

31/08/2022

Echéance:

30/09/2022

Tags RM:

2.8.X, 2.9.X

Description

Vulnérabilité de restriction incorrecte des tentatives d'authentification excessives qui pourrait permettre accès non autorisé lorsqu'un attaquant utilise la force brute.

Le code retour envoyé en cas d'utilisateur existant verrouillé est 403, lorsque le code pour un utilisateur inexistant est 401.

Historique

#1 Mis à jour par Cyril VAZQUEZ il y a plus d'un an

Statut changé de A qualifier à A traiter

#2 Mis à jour par Cyril VAZQUEZ il y a plus d'un an

Version cible changé de 2.9 à 2.9.1

#3 Mis à jour par Cyril VAZQUEZ il y a plus d'un an

Assigné à changé de Cyril VAZQUEZ à Jérôme BOUCHER

#4 Mis à jour par Cyril VAZQUEZ il y a plus d'un an

Tags RM 2.8.X, 2.9.X ajouté

#5 Mis à jour par Jérôme BOUCHER il y a plus d'un an

Modification du code HTTP de l'erreur retourné lorsqu'un utilisateur est verrouillé de 403 en 401.
Modification des messages d'erreurs retournés lorsqu'un utilisateur est verrouillé de "L'utilisateur est verrouillé" en "Nom d'utilisateur ou mot de passe invalide ou utilisateur verrouillé"
Modification des messages d'erreurs retournés lorsqu'un utilisateur fait une erreur de mot de passe de "Nom d'utilisateur et / ou mot de passe invalide" en "Nom d'utilisateur ou mot de passe invalide ou utilisateur verrouillé"

À tester sur branche fix/21935_fix_brute_force_login_status_exposure