Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/vulnerabilite-informatique

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut tromper l’utilisateur via Slash Backslash de
Apache mod_auth_openidc, afin de le rediriger vers un site
malveillant.

Produits concernés : Apache httpd Modules non exhaustif, Debian.

Gravité : 1/4.

Conséquences : accès/droits utilisateur, lecture de données.

Provenance : client internet.

Confiance : confirmé par l’éditeur (5/5).

Date de création : 02/03/2020.

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit Apache mod_auth_openidc dispose d’un service web.

Cependant, le service web accepte de rediriger la victime sans la
prévenir, vers un site externe indiqué par l’attaquant.

Un attaquant peut donc tromper l’utilisateur via Slash Backslash
de Apache mod_auth_openidc, afin de le rediriger vers un site
malveillant.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

https://vigilance.fr/vulnerabilite/Apache-mod-auth-openidc-redirection-via-Slash-Backslash-31708