Vulnérabilité critique dans Octopus serveur

TitreVulnérabilité critique dans Octopus serveur
Numéro de Référence
Numéro de Référence
49860310/24
Date de publication
Date de publication
03 octobre 2024
Niveau de Risque
Niveau de Risque
Critique
Niveau d'Impact
Niveau d'Impact
Critique

Systèmes affectés:

Systèmes affectés
  • Toutes les versions 2024.1.x avant 2024.1.13038
  • Toutes les versions 2024.2.x avant 2024.2.9482
  • Toutes les versions 2024.3.x avant 2024.3.12766

Identificateurs externes:

Identificateurs externes
  • CVE-2024-9194

Bilan de la vulnérabilité:

Bilan de la vulnérabilité

Une vulnérabilité critique a été corrigée dans Octopus Deploy Server, une plateforme d'automatisation des déploiements, utilisée pour gérer et orchestrer le déploiement continu d'applications et de mises à jour sur différents environnements (développement, test, production). Cette vulnérabilité pourrait permettre un accès non autorisé à des tables de base de données sensibles, exposant potentiellement des données de projet confidentielles et des configurations de déploiement. La faille provient d'un mauvais paramétrage des données dans l'API REST, ce qui la rend vulnérable aux attaques par injection SQL.

Solution:

Solution

Veuillez se référer au bulletin de sécurité Octopus du 01 Octobre 2024 pour plus d’information.

Risque:

Risque
  • Injection SQL
  • Contournement de la politique de sécurité
  • Accès aux informations confidentielles

Référence:

Référence

Bulletin de sécurité Octopus du 01 Octobre 2024:

Pour signaler tout contenu numérique criminel, incluant atteinte à la sécurité des individus et des groupes, louanges ou incitations au terrorisme, et atteinte aux droits et libertés des enfants, utilisez la plateforme suivante : www.e-blagh.ma

DGSSI2024 All rights reserved