OscarPoels
commented
3 years ago La faille XSS a été corrigée et est disponible dans la version 5.3-9 d'eonweb disponible ici :
Eonweb 5.3-9
Pour se prémunir de cette faille, il est conseillé d'exécuter, sur un serveur eonweb 5.3:
yum update
Pour ce qui est de la faille CSRF, elle permet à l'utilisateur de visualiser une page au travers d'eonweb, à aucun moment le serveur de supervision n'est utilisé en tant que proxy. Elle ne comporte donc pas de réel danger en soit.
Je ferme donc cette issue
Hello,
En auditant un serveur Eyes Of Network up to date, je me suis rendu compte de deux choses :
Une faille XSS dans le search :
https://"eyesofnetwork"/module/module_frame/index.php?url=%2Fthruk%2Fcgi-bin%2Fstatus.cgi%3Fs0_op%3D~%26s0_type%3Dsearch%26s0_value%3D%3C%2Fscript%3E%3Cscript%3Ealert(%22XSS%22)%3C%2Fscript%3E
Une faille CSRF :
https://"eyesofnetwork"/module/module_frame/index.php?url=https://Evil-Website.com
Savez vous comment régler ça SVP ?