Anomalie #25139
Il est possible de créer un compte via la page SSO-connect
Statut:
R&D - Terminé
Priorité:
1-Majeur
Assigné à:
Version cible:
Backlogs Produits - Inscription Backlog
Début:
26/05/2023
Echéance:
Version applicable MC:
2301
Tags Courrier:
Description
L'application Maarch-DG (version 17.6) a été auditée. Deux failles de sécurité ont été identifiés :
- Il est possible de créer un compte ou de modifier un compte existant via la page "ssO-connect" Celle-ci ne vérifiant pas correctement les privilèges et l'identité de la requête. Cette fonctionnalité est accessible sans authentification.
Cette fonctionnalité doit être bloquée.
L'instance est actuellement en 17.06, mais sera migré en 23 prochainement.
Historique
#3 Mis à jour par Emmanuel DILLARD il y a environ un an
- Sujet changé de [TMA5][Maarch-DG] Correctif de failles de sécurité à Il est possible de créer un compte via la page SSO-connect
- Statut changé de A qualifier à Complément d'Informations
- Tags Courrier
Branche TMAsupprimé
#5 Mis à jour par Emmanuel DILLARD il y a environ un an
- Description mis à jour (diff)
#6 Mis à jour par Emmanuel DILLARD il y a environ un an
- Copié vers Anomalie #25170: Filtrage requête CMIS trop permissives ajouté
#8 Mis à jour par Emmanuel DILLARD il y a environ un an
- Copié vers Anomalie #25170: Filtrage requête CMIS trop permissives supprimé
#10 Mis à jour par Nathanaël TRAVIER il y a 12 mois
- Fichier
1 - Complément_d_information _ANOMALIE #25135.docxsupprimé
#11 Mis à jour par Emmanuel DILLARD il y a 11 mois
- Statut changé de A traiter à Complément d'Informations
- Assigné à changé de Emmanuel DILLARD à Nathanaël TRAVIER
- Version applicable MC mis à 2301
#13 Mis à jour par Nathanaël TRAVIER il y a 11 mois
- Statut changé de Complément d'Informations à A traiter
- Assigné à changé de Nathanaël TRAVIER à Emmanuel DILLARD
#15 Mis à jour par Emmanuel DILLARD il y a 11 mois
- Echéance mis à 21/08/2023
- Statut changé de A traiter à R&D - A étudier
- Version cible changé de 2301 à Inscription Backlog
#16 Mis à jour par Emmanuel DILLARD il y a 10 mois
- Echéance
21/08/2023supprimé - Statut changé de R&D - A étudier à R&D - Terminé
- Assigné à changé de Emmanuel DILLARD à Alexis AMEGAH
Les méthodes d'accès et de connexions on été réécrites depuis la version 20.03 du logiciel.
L'URL indiqué dans l'analyse n'existe plus.
Le paramétrage des accès SSO est opéré depuis une page d'administration.