Anomalie #21937
[Sécurité] Vulnérabilité de type injection SQL dans l'écran de statistiques
Description
Vulnérabilité d'injection SQL authentifiée dans la page de statistiques (/statistics/retrieve) via le paramètre de filtre.
Historique
#1 Mis à jour par Cyril VAZQUEZ il y a plus d'un an
- Version cible changé de 2.9 à 2.9.1
#2 Mis à jour par Cyril VAZQUEZ il y a plus d'un an
- Assigné à changé de Cyril VAZQUEZ à Jérôme BOUCHER
#3 Mis à jour par Cyril VAZQUEZ il y a plus d'un an
- Tags RM 2.8.X, 2.9.X ajouté
- Tags RM
2.9supprimé
#4 Mis à jour par Jérôme BOUCHER il y a plus d'un an
- Statut changé de A traiter à En cours
Ajout d'un contrôle sur le contenu de la variable $filter. Celle-ci ne peut plus désormais prendre que null, empty, archivalProfile ou originatingOrg et renverra un message d'erreur sinon. C'était le seul paramètre sur lequel une injection sql était faisable
À tester sur fix/21937_fix_statistics_sql_injection
#5 Mis à jour par Jérôme BOUCHER il y a plus d'un an
- Statut changé de En cours à R&D - En cours
#6 Mis à jour par Jérôme BOUCHER il y a plus d'un an
- Statut changé de R&D - En cours à R&D - En test
#7 Mis à jour par Cyril VAZQUEZ il y a plus d'un an
- Statut changé de R&D - En test à A revoir (S)
D'autres valeurs sont sans doute possibles dans l'avenir, dans l'extension archivesPubliques par exemple.
Ne serait-il pas préférable de filtrer simplement la valeur comme évoqué pour n'autoriser que null ou une chaîne de caractères alphabétique (pas de nombre ni caractères spéciaux) ?
#8 Mis à jour par Jérôme BOUCHER il y a plus d'un an
- Statut changé de A revoir (S) à R&D - En cours
#9 Mis à jour par Jérôme BOUCHER il y a plus d'un an
- Statut changé de R&D - En cours à R&D - En test
Modifié pour prendre en compte une regex vérifiant qu'on envoie bien un mot ([\W]) et modification du message d'erreur
#10 Mis à jour par Cyril VAZQUEZ il y a plus d'un an
- Statut changé de R&D - En test à Livré
Publié sur maarchRM develop et 2.8.X (future 2.8.6)
#11 Mis à jour par Cyril VAZQUEZ il y a plus d'un an
- Statut changé de Livré à R&D - Terminé
#12 Mis à jour par Cyril VAZQUEZ il y a plus d'un an
- Assigné à changé de Jérôme BOUCHER à Cyril VAZQUEZ
#13 Mis à jour par Cyril VAZQUEZ il y a plus d'un an
- Statut changé de R&D - Terminé à Résolu
#14 Mis à jour par Cyril VAZQUEZ il y a plus d'un an
- Statut changé de Résolu à A livrer
#15 Mis à jour par Cyril VAZQUEZ il y a plus d'un an
- Statut changé de A livrer à Livré
#16 Mis à jour par Cyril VAZQUEZ il y a plus d'un an
- Statut changé de Livré à Clôturé