Vulnérabilité sur core - Jeedom Freebox Delta (et autres ?)

Discussions Générales
1

Bonjour,

J’ai découvert, une vulnérabilité sur core qui permet à un utilisateur non authentifié les attaques suivantes :

  • Cross-site scripting (XSS) : Création de fausses pages web, insertion de javascript, redirection
  • Inclusion de fichiers locaux (LFI) : Lancement de fichiers normalement non autorisés à un utilisateur non authentifié. Par exemple lancement d’anciennes mises à jour Jeedom.

Merci aux équipes Jeedom de me contacter à l’adresse mail de ce compte ou en réponse au message twitter envoyé hier pour les détails techniques.

2

Bonjour,

Fait directement un ticket jeedom, ici c’est un forum communautaire, pas certain qu’ils lisent…

@Loic @Alexandre @Ludovic

3

Bonjour,

On prend le relai en mp :wink:

Merci @szd pour ton odite et merci @nebz pour nous avoir prévenu :wink:

4

Voila résolu en Beta, on pousse en stable la correction.

Merci @szd :wink:

5

OK,

qu’en est-il des systèmes moins mis à jour ? avez vous un moyen de pousser (forcer) la mise à jour sur tous les jeedom ? étant donné que le commit log est publique, il y a moyen d’utiliser la faille maintenant…

poussez en stable au plus vite svp… maintenant que l’explication est publique

6

Bon moi je coupe mon DNS jeedom… 30min que la faille est exploitable et publique et la stable n’est pas corrigée

7

Je confirme que le commit corrige bien la vulnérabilité.

Bravo pour la réactivité.

1 « J'aime »
8

Mais ce commit explique aussi la vulnérabilité publiquement alors qu’elle est toujours pas patchée en stable…

9

Pas de mise a jours en stable et alpha
J’ai fait quand même une mise a jours forcé

10

https://www.jeedom.com/blog/4445-mise-a-jour-de-securite/

11

Ce sujet a été automatiquement fermé après 24 heures suivant le dernier commentaire. Aucune réponse n’est permise dorénavant.