Selon un rapport public du National Test Institute for Cybersecurity (NTC), mandaté par le National Cyber Security Centre (NCSC) suisse et publié le 13 octobre 2025, un audit de QGIS Server et QWC2 mené d’avril à mai 2025 a révélé une bonne posture globale, avec deux vulnérabilités XSS stockées à gravité élevée dans QWC2 désormais corrigées.

🧪 Portée et méthode

  • Produits testés: QGIS Server (final-3_42_3, e84bda9) et QWC2 (v2025.11-lts, df80336), environnement docker « qwc-docker ».
  • Approche: tests dynamiques principalement manuels (Burp Suite, fuzzing AFL++), analyses statiques (SonarQube, Snyk, Gitleaks), alignés OWASP ASVS, installation locale avec réglages par défaut.
  • Période: 01.04.2025 – 30.05.2025, ~20 j/h par deux experts.

🛡️ Résultats QGIS Server

  • Aucune vulnérabilité directement exploitable trouvée dans le délai de test.
  • 1 point faible: versions de dépendances non “pinnées” (C++ via vcpkg.json, Python via requirements.txt), augmentant le risque de dérives de build ou d’attaque supply chain.

🐞 Résultats QWC2

  • Deux failles élevées de XSS stockée:
    • H1: XSS dans la table d’attributs (édition de lignes/points) — CVE-2025-11183. L’exécution se produit à l’affichage des attributs contenant du code injecté; exploitation requiert un compte avec droits d’édition. Correctif: 2025-08-14 (sanitisation/sortie encodée).
    • H2: XSS dans le module d’inscription via la description des groupes enregistrables — CVE-2025-11184. Exploitation à l’affichage de la page d’inscription; droits spécifiques requis pour créer un groupe enregistrable. Correctif: 2025-09-30 (encodage en sortie).
  • Autres points:
    • L2 (faible): Clé API Bing présente dans l’historique Git (clé désormais révoquée/obsolète).
    • L3 (faible): Cookie du token CSRF sans flag Secure dans l’admin UI (paramétrable via JWT_COOKIE_SECURE dans docker-compose).
    • I1 (info): Axios 1.8.1 référencé avec un avis SSRF (pas d’usage d’axios.create identifié; recommandé ≥ 1.8.2). Dépendance mise à jour.

✅ Correctifs et publication

  • Tous les risques signalés ont été corrigés et des releases sont disponibles au moment de la publication.
  • CVE-2025-11183 et CVE-2025-11184 réservés le 30.09.2025; rapport et CVE publiés le 13.10.2025. Les utilisateurs sont invités à employer les versions stables les plus récentes de QGIS et QWC2.

TTPs observés (techniques)

  • Injection de XSS stockée via champs d’attributs/description (exécution lors du rendu).
  • Mauvaises propriétés de cookies (absence de flag Secure pour token CSRF).
  • Exposition de secrets dans l’historique Git.
  • Gestion de dépendances non « pin » et présence d’une librairie vulnérable (axios) référencée.

Ce document est un rapport de vulnérabilité issu d’un audit formel visant à recenser les failles et à documenter les correctifs.

🧠 TTPs et IOCs détectés

TTP

Injection de XSS stockée via champs d’attributs/description, Mauvaises propriétés de cookies (absence de flag Secure pour token CSRF), Exposition de secrets dans l’historique Git, Gestion de dépendances non « pin » et présence d’une librairie vulnérable (axios) référencée

IOC

e84bda9, df80336

🔗 Source originale : https://www.news.admin.ch/en/newnsb/cjnLsBiT8ihUH96Aos1Tw