Vigil@nce - Drupal Open Atrium : mauvais calcul de combinaison de permissions de dossier
mars 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut accéder à des documents dont l’accès est
géré par Drupal Open Atrium et qui devraient être à accès
restreint, afin obtenir des informations privées.
Produits concernés : Drupal Modules non exhaustif.
Gravité : 2/4.
Date création : 28/01/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le module Open Atrium peut être installé sur Drupal.
Ce module permet de définir des règles de contrôle d’accès. Un
dossier déclaré public sous un dossier privé devrait avoir les
mêmes règles d’accès que le dossier parent, mais il est en fait
public.
Un attaquant peut donc accéder à des documents dont l’accès est
géré par Drupal Open Atrium et qui devraient être à accès
restreint, afin obtenir des informations privées.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET