Origine : bjCSIRT
Numéro : 2023/ALERTE/043
Date de l’alerte : 21/09/2023
APERÇU :
SQLPage est un outil permettant de créer facilement des applications web dynamiques en utilisant simplement des compétences en SQL. Cet outil est impacté par une vulnérabilité de type exposition de données sensibles.
DESCRIPTION :
Une vulnérabilité a été identifiée dans SQLPage et libellée CVE-2023-42454. Les utilisateurs des versions antérieures à 0.11.1 de SQLPage sont exposés à un risque de sécurité.
La vulnérabilité concerne les instances de SQLPage exposées publiquement, utilisant une chaîne de connexion à une base de données spécifiée dans le fichier de configuration `sqlpage/sqlpage.json` et ayant la racine du site web défini comme le répertoire d’hébergement par défaut. Elle permet à un attaquant de récupérer les informations de connexion à ladite base de données à partir de SQLPage. Ainsi, l’attaquant a accès aux données sensibles de l’application vulnérable.
Les correctifs de sécurité ont été mis en place dans la version 0.11.1 de SQLPage.
Cette vulnérabilité est classée avec une sévérité critique avec un score de 10.
IMPACT :
- Atteinte à l’intégrité ;
- Atteinte à la confidentialité ;
- Atteinte à la disponibilité
SYSTÈMES AFFECTÉS :
Versions de SQLPage antérieures à 0.11.1.
MESURES À PRENDRE :
Effectuer une mise à jour vers la version 0.11.1 ou ultérieure.
REFERENCES :