Introduction Il y a quelques mois, BSSI a effectué des tests d’intrusion sur une solution de Relations Presse d’un client. Cet article décrit cinq vulnérabilités découvertes par l’équipe d’audit de BSSI lors de ces tests. Elles affectent la version 5.2.38.1.1. L’interface d’administration permet de configurer facilement un site web de relations publiques : Lors des…
En savoir plus
Introduction A few months ago, BSSI performed a penetration test against a client’s press relations solution application. This article describes five vulnerabilities discovered by the BSSI audit team during this penetration test. They affect the press relations solution application (version 5.2.38.1.1). The solution’s administrative interface makes it simple to administer and configure a public relations…
En savoir plus
Les adresses e-mail sont omniprésentes de nos jours. Allant de l’ouverture de compte bancaire jusqu’à la messagerie instantanée personnelle, la nécessité d’avoir une adresse e-mail n’a jamais été aussi forte. Cependant, l’e-mail pose de nombreux soucis en matière de sécurité. Comment s’assurer que le mail que je reçois ne provient pas d’une adresse e-mail usurpée ?…
En savoir plus
Introduction A few weeks ago, BSSI performed a penetration test that included ESRI’s ArcGIS product in the customer’s scope. The purpose of this article is to describe a vulnerability discovered by the BSSI audit team, allowing an authenticated user to remotely inject malicious HTML/JavaScript code into the application. This vulnerability affects all ArcGIS Enterprise and…
En savoir plus
Introduction Il y a quelques semaines, BSSI a effectué un test d’intrusion dont le produit ArcGIS d’ESRI figurait dans le périmètre du client. Cet article a pour but de décrire une vulnérabilité découverte par l’équipe d’audit de BSSI, permettant à un attaquant au préalable authentifié, d’injecter du code HTML/JavaScript à distance sur l’application. Cette vulnérabilité…
En savoir plus
Introduction Il y a peu, BSSI a effectué un test d’intrusion sur le CMS OpenSource Grav. Ce CMS très populaire a reçu de nombreuses distinctions et cumule plus de 12 500 étoiles sur GitHub. Cet article décrit trois vulnérabilités découvertes par l’équipe d’audit de BSSI au cours de ce test d’intrusion. Elles affectent le CMS…
En savoir plus
Introduction Recently, BSSI performed an intrusion test on the OpenSource Grav CMS. This very popular CMS has received numerous awards and more than 12,500 stars on GitHub. This article describes three vulnerabilities discovered by the BSSI audit team during this penetration test. They affect CMS Grav in its versions 1.6.28 and 1.7.0-rc.17 as well as…
En savoir plus
Les récentes cyberattaques ont sensibilisé les organisations aux menaces Cyber et à l’importance d’évaluer régulièrement leur probabilité d’occurrence ainsi que leurs impacts. En effet, en 2017 les ransomwares Wannacry et NotPetya ont mis en exergue la dimension massive et internationale des attaques, la diversité des victimes touchées, l’ampleur de la propagation, mais aussi les dommages…
En savoir plus
Introduction A few months ago, BSSI performed an internal penetration test against its client’s perimeter. It appeared that this perimeter included a web application linked to a system device called MICRO-SESAME whose editor is TIL TECHNOLOGIES (French company). This device allows centralized monitoring of all building data and electronic functions. More precisely, it is composed…
En savoir plus
Introduction Quelques mois auparavant, BSSI a effectué un test d’intrusion interne chez l’un de ses clients. Dans ce périmètre figurait une application web attachée à un équipement appelé MICRO-SESAME dont l’éditeur est TIL TECHNOLOGIES (société française). Cet équipement permet la supervision unifiée de toutes les informations et commandes électroniques du bâtiment. Plus précisément, il est…
En savoir plus
