Anomalie #26764
SECURITE - Il est possible d'injecter du code via la personnalisation des interfaces de login et du message d'accueil (API)
Début:
03/10/2023
Echéance:
18/10/2023
Version applicable MC:
2301
Tags Courrier:
2301.1.6
Description
En tant qu'utilisateur malveillant,
Je peux injecter du code malveillant (via l'API) sur les requêtes des interfaces de personnalisation des messages (Page login et page accueil)
Exemple de faille : <img src="x" onerror="alert(1);"/>
L'alerte s'affiche à la page de login.
Historique
#1 Mis à jour par Emmanuel DILLARD il y a 7 mois
- Echéance mis à 03/10/2023
- Statut changé de A qualifier à R&D - A étudier
#2 Mis à jour par Emmanuel DILLARD il y a 7 mois
- Echéance changé de 03/10/2023 à 11/10/2023
- Statut changé de R&D - A étudier à R&D - En cours
- Assigné à
Emmanuel DILLARDsupprimé
#3 Mis à jour par Emmanuel DILLARD il y a 7 mois
- Echéance changé de 11/10/2023 à 16/10/2023
- Statut changé de R&D - En cours à R&D - A planifier
- Priorité changé de 1-Majeur à 0-Bloquant
#4 Mis à jour par Emmanuel DILLARD il y a 7 mois
- Sujet changé de SECURITE - faille XSS plugin tinyMCE (A TESTER) à SECURITE - Il est possible d'injecter du code via la personnalisation des interfaces
Bloquer l'interprétation en FRONT
#5 Mis à jour par Emmanuel DILLARD il y a 7 mois
- Sujet changé de SECURITE - Il est possible d'injecter du code via la personnalisation des interfaces à SECURITE - Il est possible d'injecter du code via la personnalisation des interfaces de login et du message d'accueil
#6 Mis à jour par Emmanuel DILLARD il y a 7 mois
- Echéance changé de 16/10/2023 à 09/10/2023
- Statut changé de R&D - A planifier à R&D - A étudier
#7 Mis à jour par Emmanuel DILLARD il y a 7 mois
- Sujet changé de SECURITE - Il est possible d'injecter du code via la personnalisation des interfaces de login et du message d'accueil à SECURITE - Il est possible d'injecter du code via la personnalisation des interfaces de login et du message d'accueil (API)
- Description mis à jour (diff)
- Echéance
09/10/2023supprimé - Statut changé de R&D - A étudier à R&D - A planifier
#8 Mis à jour par Emmanuel DILLARD il y a 7 mois
- Echéance mis à 18/10/2023
- Statut changé de R&D - A planifier à R&D - En cours
- Tags Courrier 2301.1.6 ajouté
#9 Mis à jour par Hamza HRAMCHI il y a 7 mois
- Assigné à mis à Hamza HRAMCHI
#10 Mis à jour par GIT LAB il y a 7 mois
[CREATION] MR sur 2301_releases (fix/26764/2301) par Hamza HRAMCHI hamza.hramchi@xelians.fr
https://labs.maarch.org/maarch/MaarchCourrier/commit/0fcde9e1adfcb0d81ed4cdfa2c1b1d31f2a19ddf
#11 Mis à jour par Hamza HRAMCHI il y a 7 mois
- Statut changé de R&D - En cours à R&D - En test
#12 Mis à jour par Joseph AKEL il y a 7 mois
- Statut changé de R&D - En test à R&D - En cours
#13 Mis à jour par Hamza HRAMCHI il y a 7 mois
- Statut changé de R&D - En cours à R&D - En test
#14 Mis à jour par Hamza HRAMCHI il y a 7 mois
- Statut changé de R&D - En test à R&D - Terminé
#15 Mis à jour par Emmanuel DILLARD il y a 6 mois
- Description mis à jour (diff)
#16 Mis à jour par Emmanuel DILLARD il y a 6 mois
- Privée changé de Oui à Non