I discovered a bug when we use LDAP authentication.
I put LDAP username in login input, then i submit login with empty password, we obtain a successfull authentication.
TO fix the problem i modified the /tool/loginCheck.php file on line 21 : replace if ($password=="") {...} by if (AesCtr::decrypt($password, $_SESSION=="") . Password is encrypt, so $password is never empty, then when the function ldap_bind (/model/User.php line 798) is used, it always return true because of empty password.
Indeed, this verification seems not to be in 4.1.2 version (we are again on this version), so this bug is probably not on lastests versions. I apologize !
En poursuivant votre navigation, vous acceptez le dépôt de cookies tiers destinés au bon fonctionnement et à la sécurisation du site (gestion de session, reCaptcha) et à une analyse statistique anonymisée des accès sur notre site (Google Analytics). Si vous vous inscrivez, les informations que vous fournirez ne seront jamais divulguées à un tiers sous quelque forme que ce soit. En savoir plus
Cookies settings
×
Functional Cookies
Ce site utilise des cookies pour assurer son bon fonctionnement et ne peuvent pas être désactivés de nos systèmes. Nous ne les utilisons pas à des fins publicitaires. Si ces cookies sont bloqués, certaines parties du site ne pourront pas fonctionner.
Session
Please login to see yours activities!
Other cookies
Ce site web utilise un certain nombre de cookies pour gérer, par exemple, les sessions utilisateurs.