Anomalie #25170
fermé
Filtrage requête CMIS trop permissives
Ajouté par Emmanuel DILLARD il y a plus d'un an.
Mis à jour il y a 14 jours.
Description
- Une fois l'authentification sur le webservice de Maarch-Courrier.serv.cdc.fr. une fonctionnalité permet l'exécution de requêtes "cmis". Celles-ci ne sont pas correctement filtrées et peuvent être échappées afin d'injecter directement une requête "PosgreSQL" sur le serveur distant.
Conséquences : récupération d'informations sensibles et exécution de commande SQL.
Quelles possibilités de correction ?
L'instance est actuellement en 17.06, mais sera migré en 23 prochainement.
- Copié depuis Anomalie #25139: Il est possible de créer un compte via la page SSO-connect ajouté
- Copié depuis Anomalie #25139: Il est possible de créer un compte via la page SSO-connect supprimé
- Statut changé de R&D - A étudier à Complément d'Informations
- Assigné à changé de Emmanuel DILLARD à Nathanaël TRAVIER
- Assigné à changé de Nathanaël TRAVIER à Emmanuel DILLARD
- Assigné à changé de Emmanuel DILLARD à Nathanaël TRAVIER
- Fichier 2 - complément_d_informationANOMALIE #25136.docx ajouté
- Statut changé de Complément d'Informations à A traiter
- Assigné à changé de Nathanaël TRAVIER à Emmanuel DILLARD
- Fichier
2 - complément_d_informationANOMALIE #25136.docx supprimé
- Statut changé de A traiter à Complément d'Informations
- Assigné à changé de Emmanuel DILLARD à Nathanaël TRAVIER
- Assigné à changé de Nathanaël TRAVIER à Emmanuel DILLARD
- Statut changé de Complément d'Informations à A traiter
- Statut changé de A traiter à Complément d'Informations
- Assigné à changé de Emmanuel DILLARD à Nathanaël TRAVIER
- Assigné à changé de Nathanaël TRAVIER à Alexis AMEGAH
- Echéance mis à 21/08/2023
- Statut changé de Complément d'Informations à R&D - A étudier
- Statut changé de R&D - A étudier à Complément d'Informations
- Assigné à changé de Emmanuel DILLARD à Alexis AMEGAH
- Echéance
21/08/2023 supprimé
- Statut changé de Complément d'Informations à Clôturé
Formats disponibles : Atom
PDF