Présentation

Une injection de type CSRF est possible dans eonweb, le paramètre d’injection est url. Un utilisateur identifié peut accéder à un site via eonweb et/ou peut inciter une personne à accéder à ce site potentiellement compromettant. Ceci s’apparente donc plus à du pishing. Il est important de rappeler que à aucun moment le serveur de supervision n’est utilisé en tant que proxy. Elle ne présente donc pas un danger important.

Exploitation

Nous n’avons aucune connaissance d’une exploitation de cette faille à ce jour.

Versions concernée(s)

EON 5.3 (Toutes les versions)

Versions patchées

Non patchée.

Correction

Non corrigée.

Liens relatifs

https://github.com/EyesOfNetworkCommunity/eonweb/issues/67