Anomalie #25139: Il est possible de créer un compte via la page SSO-connect - Backlog Courrier - MAARCH - Support éditeur

Actions

Anomalie #25139

fermé

Il est possible de créer un compte via la page SSO-connect

Ajouté par Nathanaël TRAVIER il y a plus d'un an. Mis à jour il y a plus d'un an.

Statut:

R&D - Terminé

Priorité:

1-Majeur

Assigné à:

Version cible:

Backlogs Produits - Inscription Backlog

Début:

26/05/2023

Echéance:

Description

L'application Maarch-DG (version 17.6) a été auditée. Deux failles de sécurité ont été identifiés :

Il est possible de créer un compte ou de modifier un compte existant via la page "ssO-connect"
Celle-ci ne vérifiant pas correctement les privilèges et l'identité de la requête.
Cette fonctionnalité est accessible sans authentification.

Cette fonctionnalité doit être bloquée.

L'instance est actuellement en 17.06, mais sera migré en 23 prochainement.

Actions

#3

Mis à jour par Emmanuel DILLARD il y a plus d'un an

Sujet changé de [TMA5][Maarch-DG] Correctif de failles de sécurité à Il est possible de créer un compte via la page SSO-connect
Statut changé de A qualifier à Complément d'Informations

Actions

#5

Mis à jour par Emmanuel DILLARD il y a plus d'un an

Description mis à jour (diff)

Actions

#6

Mis à jour par Emmanuel DILLARD il y a plus d'un an

Copié vers Anomalie #25170: Filtrage requête CMIS trop permissives ajouté

Actions

#8

Mis à jour par Emmanuel DILLARD il y a plus d'un an

Copié vers Anomalie #25170: Filtrage requête CMIS trop permissives supprimé

Actions

#10

Mis à jour par Nathanaël TRAVIER il y a plus d'un an

Fichier ~~1 - Complément_d_information _ANOMALIE #25135.docx~~ supprimé

Actions

#11

Mis à jour par Emmanuel DILLARD il y a plus d'un an

Statut changé de A traiter à Complément d'Informations
Assigné à changé de Emmanuel DILLARD à Nathanaël TRAVIER
Version source mis à 2301

Actions

#13

Mis à jour par Nathanaël TRAVIER il y a plus d'un an

Statut changé de Complément d'Informations à A traiter
Assigné à changé de Nathanaël TRAVIER à Emmanuel DILLARD

Actions

#15

Mis à jour par Emmanuel DILLARD il y a plus d'un an

Echéance mis à 21/08/2023
Statut changé de A traiter à R&D - A étudier
Version cible changé de 2301 à Inscription Backlog

Actions

#16

Mis à jour par Emmanuel DILLARD il y a plus d'un an

Echéance ~~21/08/2023~~ supprimé
Statut changé de R&D - A étudier à R&D - Terminé
Assigné à changé de Emmanuel DILLARD à Alexis AMEGAH

Les méthodes d'accès et de connexions on été réécrites depuis la version 20.03 du logiciel.
L'URL indiqué dans l'analyse n'existe plus.

Le paramétrage des accès SSO est opéré depuis une page d'administration.

Actions

Formats disponibles : Atom PDF