Possibilité de télécharger les backups d’un autre tenant (1.0 -> 4.3.14)

Sévérité

moyen

Produit affecté

Toutes les versions de Carto-SI jusqu’à la version 4.3.14.

Description

Suite à une erreur dans la gestion des droits d’accès, un utilisateur de Carto-SI authentifié peut télécharger les sauvegardes sur tous les tenant hébergés à condition de connaitre l’URL des sauvegardes ou d’effectuer un attaque par force brute.

Le bug ne touche pas les installations OnPremise.

Solution

Mise à jour du logiciel Carto-SI à la version 4.3.15 ou supérieure.

Historique

  • 12/09/2022 : mise à disposition du correctif.