ISGroup Conseil en Cybersécurité

CVE-2025-28367 : Traversée de répertoire dans l’API Image Handler de mojoPortal

Une vulnérabilité de gravité moyenne a été identifiée dans mojoPortal, une plateforme CMS open source largement utilisée par des sites web d’établissements éducatifs, gouvernementaux et de petites entreprises. Cette faille permet à des attaquants non authentifiés d’accéder à des fichiers sensibles via une API héritée (legacy) de gestion d’images. L’objectif de cette divulgation est de mettre en lumière les risques liés aux modèles d’accès aux fichiers non sécurisés et de souligner l’importance de la validation des entrées utilisateur, en particulier pour le code obsolète encore exposé en ligne.

ProduitmojoPortal
Date22-04-2025 12:26:11
Informations
  • Tendance

Résumé technique

La vulnérabilité est présente dans les versions de mojoPortal ≤ 2.9.0.1, en particulier dans le point de terminaison (endpoint) /api/BetterImageGallery/imagehandler. Ce gestionnaire ne nettoie pas correctement le paramètre path, permettant des attaques par traversée de répertoire (directory traversal) qui exposent des fichiers de configuration internes.

Points techniques principaux :

  • Accès aux fichiers non authentifié : Le gestionnaire accepte des chemins de fichiers provenant des entrées utilisateur sans limiter la traversée au-delà du répertoire d’images prévu.
  • Accès au Web.Config : Un attaquant peut demander ../../../Web.Config, obtenant ainsi des secrets sensibles de l’application tels que des clés de chiffrement et des identifiants de base de données.
  • Endpoint legacy : Le point de terminaison vulnérable fait partie d’un ancien module de gestion d’images, qui pourrait ne plus être activement maintenu dans de nombreuses installations.

Recommandations

Correctif (en attente de publication officielle)

  • Surveiller le dépôt GitHub de mojoPortal pour tout correctif officiel ou note de version relative à ce problème.
  • Supprimer temporairement ou restreindre l’accès à l’API BetterImageGallery si elle n’est pas utilisée activement.

Atténuation temporaire

  • Implémenter un middleware ou des filtres dans le reverse proxy pour bloquer les motifs ../ dans les URL.
  • Restreindre l’accès aux fichiers .config au niveau du serveur web (IIS ou Apache).

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *