Vigil@nce - Node.js KeystoneJS : authentification facilitée
décembre 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant, connaissant un fragment de l’adresse email et le mot
de passe d’un utilisateur, peut s’authentifier sur Node.js
KeystoneJS, afin d’accéder au compte de cet utilisateur.
Produits concernés : Node.js Modules non exhaustif.
Gravité : 1/4.
Date création : 07/12/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
Le module KeystoneJS fournit un Content Management System.
L’authentification nécessite une adresse email et un mot de
passe. Cependant, une adresse email tronquée est acceptée comme
un login valide.
Un attaquant, connaissant un fragment de l’adresse email et le mot
de passe d’un utilisateur, peut donc s’authentifier sur Node.js
KeystoneJS, afin d’accéder au compte de cet utilisateur.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Node-js-KeystoneJS-authentification-facilitee-18451