Alerte de sécurité concernant l’outil GED Maarch

La société Française Seraum met la main sur plusieurs failles visant le logiciel GED Maarch. Supermarchés, opérateur téléphonique, Ministères, Préfectures, école de police touchés par plus d’une cinquantaine de  failles.

La société Seraum, spécialisée dans la sécurité informatique, vient de mettre à jour plusieurs vulnérabilité dans l’application web de gestion électronique de documents Maarch. Des failles annoncées comme critiques par Seraum. A noter que l’expert en sécurité informatique a tenté de joindre l’auteur de l’application, sans réponse. « Notre entreprise a trouvé plus d’une 50aine de vulnérabilités critiques au sein de cette application« , souligne à zataz.com Adrien Thierry, patron de Seraum.

Plusieurs de ces failles sont expliquées, via des exemples, par l’entreprise. Toutes les versions de Maarch (Letterbox, Enterprise, GEC, …) sont faillibles à des Sqli, XSS, téléchargement de fichier distant, inclusions de fichiers locaux, fuite d’information, escalade de privilège. Bref, voilà qui est très facheux, surtout à la lecture des cibles potentielles : société de crédit, syndicat, secteur public, immobilier, télécommunication, l’ENSP (École Nationale Supérieure de Police), des Préfectures Française ou encore la Chambre Interdépartementale des Notaires de Paris.

Mise à jour : Le service communication nous a fait savoir que la société Seraum avait proposé un audit de sécurité pour ses produits. Audit qui n’a pas été accepté. L’entreprise a diffusé une alerte, de son côté.