Faille XSS sans authentification (1.0 -> 4.5.46)

Sévérité

critique

Produit affecté

Toutes les versions de Carto-SI jusqu'à la version 4.5.46.

Description

Une vulnérabilité dans la gestion des droits permet à un attaquant non authentifié d'inclure du code JavaScript sur l'ensemble des pages de Carto-SI. Il en implique une forte perte de confidentialité et d'intégrité.

Nous n'avons trouvé aucune trace indiquant que la faille a été utilisée sur notre SaaS.

Solution

Mise à jour du logiciel Carto-SI à la version 4.5.47 ou supérieure.

Historique

• 05/06/2024 : patch de la plateforme de SaaS.

• 21/06/2024 : version patchée disponible pour l'installation en on premise.

• 02/07/2024 : communication sur l'existence de la vulnérabilité.