Plusieurs vulnérabilités de sécurité ont été identifiées dans Redmine, un logiciel libre de gestion de projets et de suivi de bugs. L'éditeur a publié des mises à jour pour corriger ces failles, qui exposent les systèmes à des risques allant de l'exécution de code arbitraire à distance à des atteintes à la confidentialité et à l'intégrité des données.
Les versions concernées sont les branches 6.0.x antérieures à la 6.0.10, les versions 6.1.x antérieures à la 6.1.3, ainsi que toutes les versions antérieures à la 5.1.13. Les utilisateurs de ces versions sont invités à appliquer sans délai les correctifs fournis par l'éditeur.
Risques multiples
Parmi les failles corrigées, certaines permettent un contournement de la politique de sécurité, une injection de code indirecte à distance (XSS) ou encore une exécution de code arbitraire à distance. Un attaquant pourrait exploiter ces vulnérabilités pour compromettre un serveur Redmine, accéder à des données sensibles ou modifier des informations.
Correctifs disponibles
Les correctifs sont accessibles via le bulletin de sécurité publié par l'équipe de développement de Redmine. Il est recommandé de mettre à jour l'installation vers les versions 6.0.10, 6.1.3 ou 5.1.13 selon la branche utilisée. Aucune solution de contournement n'a été communiquée pour les versions non supportées.
