Possibilité de télécharger les backups d’un autre tenant (1.0 -> 4.3.14)¶
Sévérité¶
moyen
Produit affecté¶
Toutes les versions de Carto-SI jusqu’à la version 4.3.14.
Description¶
Suite à une erreur dans la gestion des droits d’accès, un utilisateur de Carto-SI authentifié peut télécharger les sauvegardes sur tous les tenant hébergés à condition de connaitre l’URL des sauvegardes ou d’effectuer un attaque par force brute.
Le bug ne touche pas les installations OnPremise.
Solution¶
Mise à jour du logiciel Carto-SI à la version 4.3.15 ou supérieure.
Historique¶
12/09/2022 : mise à disposition du correctif.