Carto-SI (api)For Developers

Vulnérabilité de type XSS (1.0 -> 4.2.12)

Sévérité

moyen

Produit affecté

Toutes les versions de Carto-SI jusqu'à la version 4.2.12.

Description

Plusieurs vulnérabilités XSS menacent la disponibilité de Carto-SI et l'intégrité des cartographies. La confidentialité de la cartographie et de la liste des utilisateurs n'est pas impactée, car l'attaque nécessite un accès en écriture qui implique un accès en lecture à l'ensemble de la cartographie.

À condition d'être connecté à Carto-SI avec un compte possédant des droits d'écriture sur la cartographie, il est possible d'inclure un code JavaScript qui sera exécuté à l'insu des utilisateurs. Exemple d'actions pouvant être réalisées :

  • Modifier des données auxquels le compte n'a normalement pas accès.
  • Voler ou modifier des mots de passe en affichant une fausse page de login.

Solution

Mise à jour du logiciel Carto-SI à la version 4.2.13 ou supérieure.

Crédit

La vulnérabilité a été reportée de façon responsable par Maktorn, consultant Groupe SII.

Référence

Une CVE est en cours.

Historique

  • 28/04/2022 : prise de connaissance de la vulnérabilité.

  • 13/05/2022 : mise à disposition du correctif.

Last modified on