Dans le cadre de ses activités de R&D, l’équipe Offensive et Technique d’Akerva réalise des audits de sécurité pour identifier des vulnérabilités sur des solutions libres et open source afin d’apporter sa pierre à l’édifice du monde libre et de participer à la sécurisation des systèmes d’information.
Les membres de l’équipe sont encouragés à identifier des projets sur lesquels ils souhaitent rechercher des vulnérabilités et passent du temps pour identifier des faiblesses via différents moyens, comme des tests d’intrusion, de l’audit de code, etc. Si des vulnérabilités sont découvertes, un protocole de divulgation responsable est enclenché pour remonter les vulnérabilités aux développeurs de la solution et s’assurer avec eux de la mise à disposition des correctifs avant la publication de la vulnérabilité.
Dans ce contexte, un membre de l’équipe a identifié trois vulnérabilités notables dans la solution Dolibarr ERP & CRM.
La fonctionnalité de sauvegarde de la base de données accessible à un utilisateur authentifié avec les droits d’administration est vulnérable à une injection de paramètre. Les routines d’échappement incomplètes permettent à un acteur malveillant d’exécuter des commandes arbitraires directement sur le serveur.
Cette vulnérabilité a un score CVSS 3.1 de base de 9.1.
Si les modules « DMS/ECM » et « REST API » sont présents et actifs, n’importe quel utilisateur authentifié avec les permissions de téléversement de fichiers peut utiliser directement les appels à l’API pour téléverser des fichiers arbitraires sur le serveur.
Cette vulnérabilité a un score CVSS 3.1 de base de 6.4.
La validation des entrées utilisateurs est incomplète sur l’API, ce qui autorise un utilisateur authentifié à injecter des données malveillantes et à réaliser une attaque « Cross-Site Scripting ».
Cette vulnérabilité a un score CVSS 3.1 de base de 6.4.
Vous pouvez retrouver ces avis de sécurité sur la page dédiée du site Web Akerva.
Le milieu bancaire est une cible de choix pour les pirates informatiques. Effectivement, quoi de […]
EN SAVOIR PLUS
Face à une numérisation exponentielle de notre monde et à une recrudescence des cyberattaques, notamment […]
EN SAVOIR PLUS
Voici maintenant un an que le règlement DORA (The Digital Operational Resilience Act [1]) est […]
EN SAVOIR PLUS
Voici un an maintenant, que le règlement DORA (The Digital Operational Resilience Act[1] est entré […]
EN SAVOIR PLUS
Akerva participe au Forum InCyber 2024 ! Toute notre équipe sera présente au Forum […]
EN SAVOIR PLUS
Le sujet controversé revient régulièrement sur la table, et oppose les partisans d’une négociation avec […]
EN SAVOIR PLUS
Comme chaque année, début octobre, se tenait Les Assises de la Cybersécurité à Monaco. Cet […]
EN SAVOIR PLUS![[ PRESSE ] : 17 points essentiels pour sécuriser vos infrastructures informatiques sensibles exposées sur internet](https://akerva.com/wp-content/uploads/2020/04/Logo-GLOBALSECURITYMAG_.png){kind=logo}
Pourquoi se faire certifier ISO 27001 pour une entreprise ? Paru dans Global Security Mag, […]
EN SAVOIR PLUS
L’Organisation Internationale de Normalisation (ISO) a récemment publié les statistiques du nombre de certifications obtenues […]
EN SAVOIR PLUS
Aujourd’hui, un des vecteurs d’attaque majeurs est l’ingénierie sociale, qui consiste à manipuler les utilisateurs, […]
EN SAVOIR PLUS