Anomalie #25139: Il est possible de créer un compte via la page SSO-connect - Backlog Courrier - Maarch forge - Centre de support

Anomalie #25139

Il est possible de créer un compte via la page SSO-connect

Ajouté par Nathanaël TRAVIER il y a environ un an. Mis à jour il y a 10 mois.

Statut:

R&D - Terminé

Priorité:

1-Majeur

Assigné à:

Version cible:

Backlogs Produits - Inscription Backlog

Début:

26/05/2023

Echéance:

Version applicable MC:

2301

Tags Courrier:

Description

L'application Maarch-DG (version 17.6) a été auditée. Deux failles de sécurité ont été identifiés :

Il est possible de créer un compte ou de modifier un compte existant via la page "ssO-connect" Celle-ci ne vérifiant pas correctement les privilèges et l'identité de la requête. Cette fonctionnalité est accessible sans authentification.

Cette fonctionnalité doit être bloquée.

L'instance est actuellement en 17.06, mais sera migré en 23 prochainement.

Historique

#3 Mis à jour par Emmanuel DILLARD il y a environ un an

Sujet changé de [TMA5][Maarch-DG] Correctif de failles de sécurité à Il est possible de créer un compte via la page SSO-connect
Statut changé de A qualifier à Complément d'Informations
Tags Courrier ~~Branche TMA~~ supprimé

#5 Mis à jour par Emmanuel DILLARD il y a environ un an

Description mis à jour (diff)

#6 Mis à jour par Emmanuel DILLARD il y a environ un an

Copié vers Anomalie #25170: Filtrage requête CMIS trop permissives ajouté

#8 Mis à jour par Emmanuel DILLARD il y a environ un an

Copié vers Anomalie #25170: Filtrage requête CMIS trop permissives supprimé

#10 Mis à jour par Nathanaël TRAVIER il y a 12 mois

Fichier ~~1 - Complément_d_information _ANOMALIE #25135.docx~~ supprimé

#11 Mis à jour par Emmanuel DILLARD il y a 11 mois

Statut changé de A traiter à Complément d'Informations
Assigné à changé de Emmanuel DILLARD à Nathanaël TRAVIER
Version applicable MC mis à 2301

#13 Mis à jour par Nathanaël TRAVIER il y a 11 mois

Statut changé de Complément d'Informations à A traiter
Assigné à changé de Nathanaël TRAVIER à Emmanuel DILLARD

#15 Mis à jour par Emmanuel DILLARD il y a 11 mois

Echéance mis à 21/08/2023
Statut changé de A traiter à R&D - A étudier
Version cible changé de 2301 à Inscription Backlog

#16 Mis à jour par Emmanuel DILLARD il y a 10 mois

Echéance ~~21/08/2023~~ supprimé
Statut changé de R&D - A étudier à R&D - Terminé
Assigné à changé de Emmanuel DILLARD à Alexis AMEGAH

Les méthodes d'accès et de connexions on été réécrites depuis la version 20.03 du logiciel.
L'URL indiqué dans l'analyse n'existe plus.

Le paramétrage des accès SSO est opéré depuis une page d'administration.

Formats disponibles : Atom PDF