VU#317469 : Le logiciel parten... Note

VU#317469 : Le logiciel partenaire/le site Web du partenaire n’efface pas les fichiers de rapport et le contenu des notes, ce qui permet l’utilisation de XSS et RCE

Les logiciels Partner Software et Partner Web sont vulnérables aux attaques de scripting intersite (XSS) en raison d'une mauvaise sanitization des fichiers de rapport et de note. Ces applications, utilisées par l'industrie, les municipalités, les gouvernements d'État et les entrepreneurs privés, permettent aux utilisateurs autorisés de télécharger des fichiers. La fonctionnalité de téléchargement de fichiers ne restreint pas les types de fichiers, permettant ainsi aux attaquants d'exécuter du code malveillant sur le dispositif d'une victime. De plus, Partner Web est livré avec des informations d'identification d'administrateur par défaut, créant un risque de sécurité important. Ces vulnérabilités, identifiées comme CVE-2025-6076, CVE-2025-6077 et CVE-2025-6078, peuvent entraîner l'exécution de code arbitraire et la compromission du dispositif. L'impact de ces vulnérabilités permet aux attaquants d'obtenir un accès administrateur ou de réaliser des attaques XSS. Partner Software a publié un correctif dans la version 4.32.2 pour résoudre ces failles de sécurité. Le correctif supprime les rôles d'utilisateur Admin et Edit, sanitize les entrées dans la section Notes et restreint les pièces jointes à des formats spécifiques. Les versions affectées de Partner Web sont les 4.32 et antérieures. Les informations sur le correctif peuvent être trouvées sur le site web de Partner Software.