Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - Akeeba Backup pour WordPress et Joomla : obtention d’information

août 2014 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut envoyer de nombreuses requêtes d’accès aux sauvegardes à Akeeba Backup, afin de deviner le secret d’authentification.

Produits concernés : Joomla Extensions, WordPress Plugins

Gravité : 1/4

Date création : 21/08/2014

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit Akeeba Backup dispose d’un service web basé sur JSON.

Ce service peut ête utilisé pour accéder aux sauvegardes et exige une authentification. Cependant, les détails de la réponse du serveur donnent une indication sur le résultat d’une opération de déchiffrement faisant partie de l’authentification. Un attaquant peut alors retrouver le premier octet du secret sans avoir à trouver de bloc AES complet et correct, soit en environ 2500 essais. Il est envisageable que les octets suivants s’obtiennent de la même manière à partir des précédents.

Un attaquant peut donc envoyer de nombreuses requêtes d’accès aux sauvegardes à Akeeba Backup, afin de deviner le secret d’authentification.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/A...




Voir les articles précédents

    

Voir les articles suivants