vulnérabilité CVE-2010-0286

TYPO3 : authentification via OpenID

Synthèse de la vulnérabilité

Un attaquant, connaissant l'identité OpenID d'un utilisateur de TYPO3, peut s'authentifier sous son compte.

Gravité : 3/4. Date création : 14/01/2010.

Description de la vulnérabilité

Le système OpenID permet de déléguer l'authentification d'un utilisateur à un tiers de confiance ("provider"). La fonctionnalité OpenID peut être activée dans TYPO3. Lorsque OpenID est activé, un attaquant connaissant l'identifiant d'un utilisateur (par exemple "victime.tiers-de-confiance.dom") peut créer sa propre identité chez le même tiers de confiance OpenID ("attaquant.tiers-de-confiance.dom"). L'attaquant peut ensuite s'authentifier avec son identité, puis présenter sa justification et l'identité de la victime au site TYPO3. Ce dernier authentifiera l'attaquant avec l'identité de la victime. Un attaquant, connaissant l'identité OpenID d'un utilisateur de TYPO3, peut donc s'authentifier sous son compte.

Bulletin Vigil@nce complet

Accès au bulletin Vigil@nce complet

Caractéristiques

Titre : TYPO3 : authentification via OpenID. Mots clés : OpenID TYPO3 authentification. Références : BID-38438, CVE-2010-0286, TYPO3-SA-2010-001, VIGILANCE-VUL-9350.

Sources d'information

Publications et annonces Exemple de source : TYPO3-SA-2010-001: Authentication Bypass in TYPO3 Core

Solutions pour cette vulnérabilité

Patch correctif ou contre-mesure

Service de veille sur les vulnérabilités informatiques

Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Alertes de vulnérabilité sécurité