Posh : problème de sécurité

J’ai trouvé le moyen d’obtenir le mot de passe administrateur (complètement en clair) d’à peu près toute installation de posh. Cette faille s’appuie en fait sur deux problèmes majeurs :

  1. Le mot de passe admin est stocké en clair dans la base de données
  2. Il est possible de réaliser une injection SQL via un formulaire

J’ai contacté Eric Mathieu (fondateur de portaneo) à ce propos et j’attends actuellement une réponse.

Je donnerai plus de détails lorsque la faille sera réparée au moins sur le site portaneo.com.

Laisser un commentaire