Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Clés d'API prédictible/bruteforcable #17

Closed
h4knet opened this issue Feb 5, 2020 · 2 comments
Closed

Clés d'API prédictible/bruteforcable #17

h4knet opened this issue Feb 5, 2020 · 2 comments
Assignees

Comments

@h4knet
Copy link

h4knet commented Feb 5, 2020

Bonjour,

Il a été observé que la clés d'API par défaut d'une installation de EON 5.3 reste inchangé après une installation (€On@piK3Y) et cet élément de configuration ne semble pas accessible dans l'interface d’administration WEB.

Le calcul du token d'API d'un utilisateur est basée sur la clés, son ID ainsi que de l'IP du serveur.
L'ID du compte admin est '1' et l'adresse IP du serveur est connu (sauf si NAT en place).

md5('€On@piK3Y' + '1') = b9c968676460cbe98ceabfd0cd103677
sha256('b9c968676460cbe98ceabfd0cd103677' + '192.168.1.100') = 'eb53607a3dd349a7a49d167e1c0bad8c29a534ffe1ffec4e4d7a2b0531ef8302'

Il devient alors trivial de calculer le token du compte admin.

Ceci a été testé sur une installation de EON 5.3 téléchargée à partir du site officiel. La version reportée de l'API est la 2.4.2 avec l'installation de EON.

davoult added a commit that referenced this issue Feb 6, 2020
@davoult davoult self-assigned this Feb 6, 2020
@davoult
Copy link
Contributor

davoult commented Feb 7, 2020

Le correctif a été publié (2.0-2) et est disponible depuis le dépôt EyesOfNetwork

yum update eonapi

@davoult davoult closed this as completed Feb 26, 2020
@h4knet
Copy link
Author

h4knet commented Feb 26, 2020

Bonjour, Voici la CVE associée : CVE-2020-8657
Référence NIST : https://nvd.nist.gov/vuln/detail/CVE-2020-8657
Score CVSSv3 : 9.8

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Labels
None yet
Projects
None yet
Development

No branches or pull requests

2 participants