CERT-NPS:2011:002 Vulnérabilité Potentielle dans une Solution de Gestion de Courrier

Jun 8th, 2011No Comments

CERT-NETPEAS viens d’identifier une vulnérabilité potentielle au niveau de la solution de gestion de courrier (Intranet / Extranet) weBarid conçue par Widesoft éditeur marocain de solutions informatiques.

La faille a été confirmée surtout que la vérification a été effectuée sur une version de la solution mise en production par un client final. D’autres clients peuvent être touchés par cette vulnérabilité.

Voici les caractéristiques de la vulnérabilité identifiée

Application : WeBarid

CPE (Common Platform Enumeration): N/A

Version: 0.3

Vecteur:  Improper Access Control (Authorization)

OWASP ID: A4 – Insecure Direct Object References

CWE (Common Weakness Enumeration) : CWE-285

Criticité: Haute (Listée dans le CWE/SANS Top 25)

Description:  La vulnérabilité découverte est résultante d’un problème de cloisonnement applicatif qui peut être exploité par un utilisateur mal intentionné pour accéder à des fonctions d’administration avec un profil non autorisé.

Exploit:  Privé / 0Day. L’exploitation a été envoyée à l’éditeur. Nous ne publierons pas la méthode. Plusieurs clients sont affectés

Status: L’éditeur a été informé

Credit: La vulnérabilité a été identifiée par Youssef Manar (Chercheur en Sécurité IT et Responsable Veille CERT-NETPEAS)

Leave a Reply