Project

General

Profile

Anomalie #21935

[Sécurité] Vulnérabilité brute force

Added by Cyril VAZQUEZ 3 months ago. Updated about 2 months ago.

Status:
A livrer
Priority:
1-Majeur
Assignee:
Target version:
Start date:
08/31/2022
Due date:
09/30/2022
Tags RM:
2.8.X, 2.9.X

Description

Vulnérabilité de restriction incorrecte des tentatives d'authentification excessives qui pourrait permettre accès non autorisé lorsqu'un attaquant utilise la force brute.

Le code retour envoyé en cas d'utilisateur existant verrouillé est 403, lorsque le code pour un utilisateur inexistant est 401.

History

#1 Updated by Cyril VAZQUEZ 3 months ago

  • Status changed from A qualifier to A traiter

#2 Updated by Cyril VAZQUEZ 3 months ago

  • Target version changed from 2.9 to 2.9.1

#3 Updated by Cyril VAZQUEZ 3 months ago

  • Assignee changed from Cyril VAZQUEZ to Jérôme BOUCHER

#4 Updated by Cyril VAZQUEZ 3 months ago

  • Tags RM 2.8.X, 2.9.X added

#5 Updated by Jérôme BOUCHER 3 months ago

Modification du code HTTP de l'erreur retourné lorsqu'un utilisateur est verrouillé de 403 en 401.
Modification des messages d'erreurs retournés lorsqu'un utilisateur est verrouillé de "L'utilisateur est verrouillé" en "Nom d'utilisateur ou mot de passe invalide ou utilisateur verrouillé"
Modification des messages d'erreurs retournés lorsqu'un utilisateur fait une erreur de mot de passe de "Nom d'utilisateur et / ou mot de passe invalide" en "Nom d'utilisateur ou mot de passe invalide ou utilisateur verrouillé"

À tester sur branche fix/21935_fix_brute_force_login_status_exposure

#6 Updated by Jérôme BOUCHER 3 months ago

  • Status changed from A traiter to En cours

#7 Updated by Jérôme BOUCHER 3 months ago

  • Status changed from En cours to En cours de dev (S)

#8 Updated by Jérôme BOUCHER 3 months ago

  • Status changed from En cours de dev (S) to A tester (S)

#9 Updated by Cyril VAZQUEZ 2 months ago

  • Status changed from A tester (S) to Résolue

Publié sur maarchRM develop et 2.8.X (future 2.8.6)

#10 Updated by Cyril VAZQUEZ about 2 months ago

  • Status changed from Résolue to Développé / Analysé (S)

#11 Updated by Cyril VAZQUEZ about 2 months ago

  • Assignee changed from Jérôme BOUCHER to Cyril VAZQUEZ

#12 Updated by Cyril VAZQUEZ about 2 months ago

  • Status changed from Développé / Analysé (S) to Résolue

#13 Updated by Cyril VAZQUEZ about 2 months ago

  • Status changed from Résolue to A livrer

Also available in: Atom PDF