You are not logged in.

Announcement

 Téléchargez la dernière version stable de GLPI      -     Et vous, que pouvez vous faire pour le projet GLPI ? :  Contribuer
 Download last stable version of GLPI                      -     What can you do for GLPI ? :  Contribute

Pages: 1

#1 2020-07-24 23:08:08

ecollet
Member
Registered: 2019-07-29
Posts: 34

BUG / securité

Bonjour,

J'ai trouvé une façon très simple pour un utilisateur de récupérer tous les tokens, dont celui du super admin (!)
j'en dis plus ici ou en mp ?
les conditions (non détaillée ici ) :
avoir un accès via l'api, connexion par api_token possible.
+ paramétrage spécifique de mon profile

Je précise que via le portail web, l’utilisateur en question n'a pas accès à ces token. Ceci avec les mêmes droits / mêmes profiles.

...
Emmanuel

Offline

#2 2020-07-25 09:47:16

LaDenrée
HELPER
Registered: 2012-11-19
Posts: 6,287

Re: BUG / securité

Https://github.com/glpi-project/glpi/security/policy

Bonjour vous trouverez les consignes pour signaler discrètement les failles de sécurité dans le lien ci dessus

Trouver la panne avant de réparer...
GLPI10.0.16 (ubuntu 22.04 PHP8.1  Mariadb10.6 ) plugins : comportements 2.7.3 reports 1.16.0 formcreator 2.13.9, datainjection 2.13.5 fields 1.21.9

Offline

#3 2020-07-27 09:12:24

orthagh
Administrator
From: TECLIB - CAEN
Registered: 2010-11-30
Posts: 662
Website

Re: BUG / securité

Comme échangé par mail, cet faille est déjà connue et a fait l'objet d'une publication de CVE : https://github.com/glpi-project/glpi/se … -3r4w-4h55

Et GLPI 9.4.6 inclut un correctif pour celle ci

Offline

Pages: 1

Board footer

Powered by FluxBB