Dolibarr ERP & CRM » Bugs » bug #1816 Mots de passe en clair dans la table llx_userSnapshot Details |
Submitted by: | Cyril (tchap) | | Submitted on: | 2015-01-30 12:36 |
Last Modified On: | 2015-01-30 12:36 | |
Summary: | Mots de passe en clair dans la table llx_user |
Description: | La colonne "pass" de la table "llx_user" contient les mots de passe en clair des utilisateurs. C'est a priori un problème de sécurité assez intéressant puisque la personne pouvant faire un export peut récupérer tous les mots de passe de tous les utilisateurs en clair. Si la base est compromise en lecture, une tierce personne peut avoir accès à tous les mots de passe, dont celui du super admin.
Le stockage de mot de passe en clair n'a aucune utilité mais représente une faille de sécurité certaine; |
Step to reproduce bug: | |
Detected in version: | 3.6.2 | | Category: | Security |
Severity: | 5 - Major | | OS Type/Version: | Debian wheezy |
PHP version: | PHP 5.4.36-0+deb7u3 | | Database type and version: | mysql Ver 14.14 Distrib 5.5.40 |
Status |
Status: | Open | | Assigned to: | None |
Resolution: | None | |
Answer now
|
|