Sécurité informatique

securite informatique
     SECURINFOS
     in English
     Bulletins sécurité
     Docs sécurité
     Logiciels sécurité
     Vieux Logiciels
     Forum sécurité
     Services
     Définitions
     Astuces Windows
     MetaSploit
     M$ OPcodes
     Passwords
     Dictionnaires
     Contact
     Liens

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Cross Site Scripting holes in Xoops PHP-Nuke NPDS daCode Drupal et phpWebSite

20/01/2007 22H55
Référence Secunia : SA7153  
Date de publication : 2002-09-24
Dernière mise à jour : 2002-10-01

Risque : Non Critique. Niveau 2 sur 5.
Impact : Cross Site Scripting
Lieu : A distance


Solutions :
Correctif Partiel


Produit :
daCode 1.x
Drupal 3.x
Drupal 4.x
NPDS 4.x SuperCache
PHP-Nuke 6.x
phpWebSite 0.x
Xoops 2.x

Description :
Plusieurs systèmes de gestion de contenu sont vulnérables à l'injection de code HTML.

Il apparait également qu'il est possible d'injecter du SQL dans certains scripts PHP-Nuke:

http://www.nukesite.com/modules.php?name=News&file=article&sid=1234%20or%201=1

http://www.xoops.org/modules/news/

PostNuke:
http://marc.theaimsgroup.com/?l=bugtraq&m=103306696427569&w=2


Vulnérabilité découverte par :

Mark Grimes, Stateful Labs
Pedro Inacio
David Suzanne
Historique :
Mark Grims, Cross Site Scripting 24/09/2002
Pedro Inacio, injection SQL 25/09/2002
David Suzanne : vulnérabilités existant dans Xoops, NPDS, daCode, Drupal et phpWebSite 25/09/2002
Xoops a réalisé une nouvelle version, 26/09/2002




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.

Derniers bulletins de sécurité informatique

Bulletins de sécurité informatiques relatifs

20080903 PHP Coupon Script id Vulnérabilité d'Injection SQL 3
20080902 Web directory site Vulnérabilité d'Injection SQL 3
20080821 PHP Live Helper Vulnérabilités Diverses
20080814 Drupal Vulnérabilités Diverses
20080814 Drupal Requete Cross Site Forgée et Contournement de la Sécurité
20080813 PHP Realty docID Vulnérabilité d'Injection SQL
20080812 PHP Vulnérabilités Diverses
20080807 Xoops Kshop Module search Cross Site Scripting
20080731 PHP Hosting Directory adm Contournement de la Sécurité
20080729 Web Wiz Rich Text Editor email Cross Site Scripting
20080728 Web Wiz Forum Vulnérabilités Diverses
20080724 PHP Classifieds catid et catid search Vulnérabilité d'Injection SQL
20080724 Drupal Vulnérabilité de Fixation de Session
20080719 PHP Nuke eid Vulnérabilité d'Injection SQL
20080716 php Help Agent content Vulnérabilité d'Inclusion de Fichier
20080710 Drupal Vulnérabilités Diverses
20080710 Drupal OpenID Module Vulnérabilités
20080708 PHP Nuke 4ndvddb Module id Vulnérabilité d'Injection SQL
20080703 Drupal Tinytax taxonomy block Vulnérabilités d'Insertion de Script
20080703 Drupal Taxonomy Autotagger Injection SQL et Insertion de Script
20080703 Drupal Outline Designer Contournement de la Sécurité
20080703 Drupal Organic groups Divulgation d'Informations et Insertion de Script
20080702 PHP Agenda page Inclusion de Fichier Local
20080626 Drupal Suggested Terms Module Vulnérabilité d'Insertion de Script
20080619 Drupal TrailScout Module Cross Site Scripting et Injection SQL
20080616 PHP JOBWEBSITE PRO JobSearch3 php Injection SQL
20080612 Drupal Taxonomy Image Module Vulnérabilités Cross Site Scripting
20080612 Drupal Node Hierarchy Module Improper Access Check
20080612 Drupal Magic Tabs Module Arbitrary Exécution de code PHP
20080612 Drupal Aggregation Module Vulnérabilités Diverses
20080610 PHP Image Gallery action Vulnérabilité Cross Site Scripting
20080520 PHP Fusion Forum Rank System Inclusion de Fichier Local
20080429 XOOPS Various Bluemoon inc Modules Cross Site Scripting
20080423 Web Calendar Pro user id Injection SQL
20080421 PHP Fusion submit info Vulnérabilité d'Injection SQL
20080410 Drupal Simple Access Module Contournement de la Sécurité
20080410 Drupal Menu System Vulnérabilités de Contournement de la Sécurité
20080404 Nuke ET mensaje Vulnérabilité d'Insertion de Script
20080403 Drupal Flickr Module Vulnérabilités Cross Site Scripting
20080313 XOOPS Tutorials Module tid Injection SQL
20080311 PHP Nuke Hadith Module cat Injection SQL
20080307 PHP Nuke Kutub i Sitte Module kid Injection SQL
20080228 Drupal Vulnérabilités d'Insertion de Script
20080225 php Download Manager content Vulnérabilité d'Inclusion de Fichier
20080225 Xoops XM Memberstats Module letter et sortby Injection SQL
20080222 XOOPS Tiny Event Module id Injection SQL
20080222 XOOPS Prayer List Module cid Injection SQL
20080214 Drupal Header Image Module Contournement de la Sécurité
20080131 PHP Links id Vulnérabilité d'Injection SQL
20080131 Drupal Userpoints Module Requete Cross Site Forgée Vulnérabilité
20080131 Drupal Secure Site Module Contournement de la Sécurité
20080131 Drupal Project Probleme Tracking Module Upload de Fichier et Insertion de Script
20080131 Drupal Comment Upload Module Vulnérabilité de Televersement de Fichier
20080124 Web Wiz Rich Text Editor sub Vulnérabilité de Traversée de Répertoires
20080124 PHP Nuke modules Search index php Injection SQL
20080124 Drupal Workflow Module Workflow Message Insertion de Script
20080124 Drupal Archive Module Cross Site Scripting
20080117 php residence cognome cerca Vulnérabilité d'Injection SQL
20080114 Drupal Meta Tags Module Exécution de Code Arbitraire
20080103 phpWebSite search Vulnérabilité Cross Site Scripting
20080103 PHP Vulnérabilités Diverses
20071226 Web Sihirbazi default asp Injection SQL
20071206 Drupal taxonomy select nodes Injection SQL
20071206 Drupal Shoutbox Module Vulnérabilités d'Insertion de Script
20071129 PHP CON webappcfg APPPATH Inclusion de Fichiers
20071112 PHP Vulnérabilités Diverses
20071030 PHP AGTC membership system adduser php Contournement de la Sécurité
20071024 php basic basicFramework root Vulnérabilité d'Inclusion de Fichier
20071024 PHP Project Management Vulnérabilités d'Inclusion de Fichiers
20071016 PHP File Sharing System cam Traversée de Répertoire
20071009 PHP Homepage M id Vulnérabilité d'Injection SQL
20071004 Drupal Project Probleme Tracking Module Subscription Form Insertion de Script
20070926 PHP Nuke Dance Music Module Inclusion de Fichier Local
20070831 PHP Vulnérabilités Diverses
20070820 Drupal Project et Project Probleme Tracking Modules Permitions Insécurisées
20070814 Drupal Content Construction Kit Nodereference Module Cross Site Scripting
20070810 Web News config root ordner Inclusion de Fichiers
20070730 PHP Blogger pref db Faille de Sécurité
20070727 Drupal Cross Site Scripting et Requete Forgée Vulnérabilités
20070716 PHP glob Vulnérabilité d'Exécution de Code
20070713 Drupal LoginToboggan Module username Insertion de Script
20070711 Drupal Print Module Access Restriction Bypass
20070711 Drupal Forward Module Access Restriction Bypass
20070703 PHP Director id Vulnérabilité d'Injection SQL
20070702 PHP Fusion FUSION QUERY Vulnérabilité Cross Site Scripting
20070621 PHP Tidy Extension tidy parse string Buffer Overflow
20070619 PHP Hosting Biller order php Vulnérabilité Cross Site Scripting
20070614 Xoops XT Conteudo Module spaw root Inclusion de Fichiers
20070614 Xoops Cjay Content WYSIWYG IE Module spaw root Inclusion de Fichiers
20070613 Xoops Tiny Content Module spaw root Inclusion de Fichiers
20070613 Xoops Horoscope Module xoopsConfig root path Inclusion de Fichiers
20070613 PHP Real Estate Classifieds loc Inclusion de Fichiers
20070525 Web Icerik Yonetim Sistemi No Cross Site Scripting
20070522 PHP gdPngReadData Truncated PNG Data Déni de Service
20070516 Xoops Resmanager Module id reserv Injection SQL
20070516 PHP SOAP Extension HTTP Authentication Weak Nonce
20070507 XOOPS Flashgames Module lid Injection SQL
20070507 PHP TopTree BBS right file Vulnérabilité d'Inclusion de Fichier
20070504 PHP Vulnérabilités Diverses
20070504 PHP Coupon Script bus Injection SQL
20070420 PHP Nuke SQL Filter Bypass et Vulnérabilités d'Injection SQL
20070418 PHP Nuke vWar Module Injection SQL et Cross Site Scripting
20070412 Drupal Database Administration Module Vulnérabilités Diverses
20070410 PHP readwbmp Dépassement d'Entier
20070409 PHP FILTER VALIDATE EMAIL Filter Newline Injection
20070406 XOOPS WF Links Module cid Injection SQL
20070406 XOOPS Jobs Module cid Injection SQL
20070406 Nuke ET Your Account User Deletion Vulnérabilité
20070405 Xoops WF Snippets Module c Injection SQL
20070405 Xoops Rha7 Downloads Module lid Injection SQL
20070403 Xoops Kshop Module id Injection SQL
20070403 Xoops Camportail Module camid Injection SQL
20070402 Xoops RMSoft Gallery System Module idcat Injection SQL
20070402 PHP Nuke Addressbook Module module name Inclusion de Fichier Local
20070402 PHP Fusion Expanded Calendar Module m month Injection SQL
20070328 Xoops Articles Module id Parameter Injection SQL
20070328 Web Content System path JavascriptEdit Inclusion de Fichiers
20070328 PHP Nuke Anti Cross Site Request Forgery Routine Bypass Vulnérabilité
20070323 PHP unserialize S Data Type Information Leak
20070320 NPDS FILESDBtmp name Vulnérabilité d'Injection SQL
20070316 PHP array user key compare Double DTOR Vulnérabilité
20070316 PHP Interbase Extension isc attach database Buffer Overflow
20070312 PHP Nuke lang Vulnérabilité d'Inclusion de Fichier Local
20070221 PHP Nuke HTTP referer Vulnérabilité d'Injection SQL
20070209 PHP Vulnérabilités Diverses
20070131 Drupal Textimage Module Contournement de la Sécurité
20070131 Drupal Captcha Module Contournement de la Sécurité
20070130 Drupal Comment Preview Exécution de Code Arbitraire
20070124 Drupal Acidfree Module node titles Vulnérabilité d'Injection SQL
20061228 PHP iCalendar Vulnérabilités Cross Site Scripting
20061228 PHP Update Vulnérabilités Diverses
20061226 PHP Live! Vulnérabilités Cross Site Scripting
20061218 Drupal Project Project issue tracking Module Insertion de Script
20061218 Drupal MySite Module Title Vulnérabilité d'Insertion de Script
20061211 Drupal Chatroom Module Session ID Divulgation d'Informations
20061206 Drupal CVS management tracker Module Cross Site Scripting
20061204 PHP Upload Center footerpage et language Inclusion de Fichiers
20061128 PHP Nuke modules News index php Vulnérabilités d'Injection SQL
20061118 PHP Upload Tool Upload de Fichier And Traversée de Répertoire
20061108 PHP Classifieds user id Vulnérabilité d'Injection SQL
20061101 PHP Nuke forwhat Vulnérabilité d'Injection SQL
20061026 Drupal Extended Tracker Module Injection SQL
20061020 Drupal Vulnérabilités Diverses
20061013 PHP News Reader CFG Inclusion de Fichiers
20061012 PHP News Reader CFG Inclusion de Fichiers
20061009 PHP Classifieds catid et catid search Vulnérabilité d'Injection SQL
20061005 PHP ecalloc Dépassement d'Entier
20061004 PHP open basedir Symlink Contournement de la Sécurité
20061003 Drupal IMCE Module Vulnérabilités Diverses
20060927 PHP Invoice home php Vulnérabilités Cross Site Scripting
20060925 Web News content page Vulnérabilité d'Inclusion de Fichier
20060920 Drupal Site Profile Directory Module Cross Site Scripting
20060920 Drupal Search Keywords Module Insertion de Script
20060919 PHP Post Vulnérabilités Diverses
20060914 Drupal Userreview Module Vulnérabilité Cross Site Scripting
20060913 PHP Event Calendar Add Event Vulnérabilités d'Insertion de Script
20060908 PHP Fusion maincore php Vulnérabilité d'Injection SQL
20060907 php download script file Parameter Traversée de Répertoire
20060905 Web Dictate Empty Password Contournement de l'Authentification
20060904 PHP Nuke MyHeadlines Module myh op Cross Site Scripting
20060830 Xoops user avatar Parameter Vulnérabilité d'Injection SQL
20060824 Drupal Easylinks Module Insertion de Script et Injection SQL
20060809 Drupal Bibliography Module Cross Site Scripting et Injection SQL
20060808 PHP sscanf Exécution de Code Safe Mode Bypass
20060808 Drupal Recipe Module Vulnérabilité d'Insertion de Script
20060808 Drupal Jobsearch Module Vulnérabilité d'Injection SQL
20060807 PHP Simple Shop abs path Vulnérabilité d'Inclusion de Fichier
20060803 PHP Deux Vulnérabilités Non spécifiées
20060803 Drupal user module Vulnérabilité Cross Site Scripting
20060724 PHP Live! css path Vulnérabilité d'Inclusion de Fichier
20060720 PHP Post auto login Contournement de la Sécurité
20060718 PHP Event Calendar path to calendar Inclusion de Fichiers
20060712 Drupal webform Module Vulnérabilités d'Insertion de Script
20060710 PHP Blogger Vulnérabilités d'Insertion de Script
20060705 Drupal Form mail Module Mail Header Injection Vulnérabilité
20060704 PHP Fusion Image Vulnérabilité d'Insertion de Script
20060629 Xoops MyAds Module lid Parameter Vulnérabilité d'Injection SQL
20060629 PHP iCalendar cal Vulnérabilité Cross Site Scripting
20060626 PHP error log Safe Mode Bypass Faille
20060609 NPDS Inclusion de Fichier Local et Vulnérabilités Cross Site Scripting
20060605 PHP Pro Publish catname Parameter Cross Site Scripting
20060605 PHP ManualMaker Vulnérabilités Cross Site Scripting
20060602 Drupal Taxonomy Module Vulnérabilité Cross Site Scripting
20060530 PHP curl init Safe Mode Bypass Faille
20060529 php residence Vulnérabilités d'Insertion de Script
20060529 PHP AGTC membership system useremail Insertion de Script
20060525 Drupal Injection SQL and Arbitrary File Exécution Vulnérabilités
20060522 Xoops Vulnérabilités d'Inclusion de Fichiers Locaux
20060517 PHP Fusion srch where Injection SQL Vulnerablility
20060512 Web Labs CMS Vulnérabilités Cross Site Scripting
20060509 PHP Fusion Vulnérabilités Diverses
20060508 PHP Arena paCheckbook Vulnérabilités d'Injection SQL
20060508 Drupal project module Vulnérabilité d'Insertion de Script
20060504 PHP Vulnérabilités Non spécifiées
20060503 PHP Linkliste linkliste php Vulnérabilité d'Insertion de Script
20060501 PHP Pro Publish Vulnérabilités d'Injection SQL
20060501 PHP Newsfeed Vulnérabilités d'Injection SQL
20060428 PHP Gastebuch Kommentar Vulnérabilité d'Insertion de Script
20060425 PHP wordwrap Vulnérabilité de Dépassement de Tampon
20060419 PHP Net Tools host Vulnérabilité d'Injection de Commande Shell
20060418 PHP Album data dir Vulnérabilité d'Inclusion de Fichier
20060417 phpWebSite hub dir Vulnérabilité d'Inclusion de Fichier Local
20060414 Web Shop storeid Divulgation de Chemin Complet Faille
20060411 Web Shop deptname Parameter Cross Site Scripting
20060410 PHP phpinfo Cross Site Scripting and Contournement de la Sécurité
20060329 PHP html entity decode Divulgation d'Informations Vulnérabilité
20060329 PHP Script Index search Vulnérabilité Cross Site Scripting
20060329 PHP Classifieds searchword Vulnérabilité Cross Site Scripting
20060328 PHP Live Helper abs path Vulnérabilité d'Inclusion de Fichier
20060327 Web Quiz Pro Vulnérabilités Cross Site Scripting
20060327 PHP Ticket frm search in Vulnérabilité d'Injection SQL
20060323 PHP Live! base url Vulnérabilité Cross Site Scripting
20060321 PHP iCalendar Inclusion de Fichiers and Calendar Upload Vulnérabilités
20060314 Drupal Vulnérabilités Diverses
20060310 PHP SimpleNEWS admin Contournement de l'Authentification
20060303 PHP Upload Center File Extensions Script Upload Vulnérabilité
20060228 PHP mb send mail et IMAP Functions Contournement de la Sécurité
20060223 Web Calendar Pro dropbase php Vulnérabilité d'Injection SQL
20060222 PHP Nuke Personal Menu Insertion de Script et Injection SQL
20060221 PHP Fusion Vulnérabilités Cross Site Scripting
20060220 PHP Nuke CAPTCHA Bypass
20060217 PHP Nuke Your Account Module Vulnérabilité d'Injection SQL
20060215 PHP Classifieds member login php Injection SQL
20060213 PHP Nuke pagetitle Vulnérabilité Cross Site Scripting
20060213 PHP MYSQL Timesheet Vulnérabilités d'Injection SQL
20060210 PHP Event Calendar User Information Manipulation
20060209 PHP iCalendar Vulnérabilités d'Inclusion de Fichiers
20060206 PHP Link Directory ADBdb and PHPMailer
20060203 PHP GEN Cross Site Scripting et Injection SQL
20060130 PHP Ping count Vulnérabilité de Déni de Service
20060113 PHP Vulnérabilités Diverses
20060113 PHP Toolkit for PayPal Payment Bypass and Exposure of Transactions
20060110 PHP Nuke News Story Text Vulnérabilité d'Insertion de Script
20060105 PHP mysql connect Vulnérabilité de Dépassement de Tampon
20060102 Web Wiz Products txtUserName Vulnérabilité d'Injection SQL
20051223 PHP Fusion Vulnérabilités Diverses
20051215 PHP Support Tickets Vulnérabilités d'Injection SQL
20051214 PHP JackKnife Gallery System sKeywords Cross Site Scripting
20051206 PHP addressbook view php Vulnérabilité d'Injection SQL
20051201 Drupal Vulnérabilités Diverses
20051129 PHP Web Statistik Vulnérabilités Diverses et Faille de Sécurité
20051128 PHP Injection d'Entete
20051128 PHP Doc System Vulnérabilité d'Inclusion de Fichier Local
20051123 PHP Post Cross Site Scripting et Vulnérabilités d'Insertion de Script
20051123 PHP Labs Top Auction Vulnérabilités d'Injection SQL
20051123 PHP Labs Survey Wizard Vulnérabilité d'Injection SQL
20051121 PHP Fusion Vulnérabilités d'Injection SQL
20051121 Nuke ET query Vulnérabilité d'Injection SQL
20051116 PHP Nuke Vulnérabilité d'Injection SQL
20051116 PHP GEN Vulnérabilités Cross Site Scripting
20051115 Xoops WF Downloads Vulnérabilité d'Injection SQL
20051115 Xoops Vulnérabilité d'Inclusion de Fichier Local
20051103 PHP Handicapper Vulnérabilités Diverses
20051027 PHP Nuke Search Enhanced Cross Site Scripting
20051026 PHP iCalendar phpicalendar Vulnérabilité d'Inclusion de Fichier
20051026 PHP iCalendar Exécution de Code à Distance et CSS
20051025 Xoops Vulnérabilités d'Insertion de Script
20051025 PHP Nuke Vulnérabilités d'Injection SQL
20051025 PHP Fusion Vulnérabilité d'Insertion de Script
20051020 PHP Nuke Addon NukeFixes Vulnérabilité d'Inclusion de Fichier Local
20051011 PHP Advanced Transfer Manager Vulnérabilité d'Envoi de Fichiers HTML
20051011 PHP Advanced Transfer Manager HTML Upload et Credentials Exposure
20051006 PHP Fusion Vulnérabilités d'Injection SQL
20051006 PHP Fusion Deux Vulnérabilités d'Injection SQL
20051004 PHP Fusion album et photo Vulnérabilités d'Injection SQL
20051004 PHP Fusion Vulnérabilit&ea