Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Xoops script injection vulnerability

20/01/2007 22H55
Référence Secunia : SA7151
Date de publication : 2002-09-24
Dernière mise à jour : 2002-09-26

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Cross Site Scripting
Lieu : A distance

Solutions :
Non corrigée

Produit :
Xoops 2.x

Description :
Les membres qui sont autorisés à poster dans un forum Xoops peuvent inclure des tags IMG avec des commandes javascript.

Cela pourrait permettre à des attaquants de voler des cookies et exécuter javascript depuis le site où tourne Xoops.

Solutions :
Xoops est écrit en PHP, si le forum est critique à votre site, nous recommandons d'éditer manuellement le code et filtrer l'entrée fournie par l'utilisateur.
Si Xoops n'est pas critique à votre site, nous recommandons du désactiver temporairement.

Xoops a réalisé une nouvelle version RC3.0.5:
http://www.xoops.org/modules/news/

Vulnérabilité découverte par :

David Suzanne (aka dAs)
Historique :
Xoops a réalisé une nouvelle version, 26/09/2002

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.

Derniers bulletins de sécurité informatique

Bulletins de sécurité informatiques relatifs

20081017 XOOPS hisa cart Module Divulgation d'Informations 3

20080807 Xoops Kshop Module search Cross Site Scripting

20080429 XOOPS Various Bluemoon inc Modules Cross Site Scripting

20080313 XOOPS Tutorials Module tid Injection SQL

20080225 Xoops XM Memberstats Module letter et sortby Injection SQL

20080222 XOOPS Tiny Event Module id Injection SQL

20080222 XOOPS Prayer List Module cid Injection SQL

20070614 Xoops XT Conteudo Module spaw root Inclusion de Fichiers

20070614 Xoops Cjay Content WYSIWYG IE Module spaw root Inclusion de Fichiers

20070613 Xoops Tiny Content Module spaw root Inclusion de Fichiers

20070613 Xoops Horoscope Module xoopsConfig root path Inclusion de Fichiers

20070516 Xoops Resmanager Module id reserv Injection SQL

20070507 XOOPS Flashgames Module lid Injection SQL

20070406 XOOPS WF Links Module cid Injection SQL

20070406 XOOPS Jobs Module cid Injection SQL

20070405 Xoops WF Snippets Module c Injection SQL

20070405 Xoops Rha7 Downloads Module lid Injection SQL

20070403 Xoops Kshop Module id Injection SQL

20070403 Xoops Camportail Module camid Injection SQL

20070402 Xoops RMSoft Gallery System Module idcat Injection SQL

20070328 Xoops Articles Module id Parameter Injection SQL

20060830 Xoops user avatar Parameter Vulnérabilité d'Injection SQL

20060629 Xoops MyAds Module lid Parameter Vulnérabilité d'Injection SQL

20060522 Xoops Vulnérabilités d'Inclusion de Fichiers Locaux

20051115 Xoops WF Downloads Vulnérabilité d'Injection SQL

20051115 Xoops Vulnérabilité d'Inclusion de Fichier Local

20051025 Xoops Vulnérabilités d'Insertion de Script

20050809 XOOPS Vulnérabilités PHPMailer et XML RPC

20050809 XOOPS PHPMailer et XML RPC Vulnérabilités

20050630 crip Création Non Sécurisée de Fichiers Temporaires

20050630 Xoops Cross Site Scripting et Injection SQL

20050309 Xoops Avatar Upload File Extension Vulnérabilité

20050131 Xoops Incontent Module Arbitrary Divulgation de Contenu de Fichier

20040901 XOOPS Dictionary Vulnérabilité Cross Site Scripting

20031222 Xoops URL Parameter Cross Site Scripting Vulnérabilité

20031208 Xoops Injection SQL et Banner Manipulation Vulnérabilités

20030814 Xoops Cross Site Scripting

20030618 Xoops Tutorials execution de code arbitraire

20030428 XOOPS MyTextSanitizer Cross Site Scripting

20030403 XOOPS Glossary Module Cross Site Scripting

20030320 XOOPS xoopsOption Path Disclosure Faille

20021216 XOOPS Private Message Disclosure Vulnérabilité

20020924 Xoops vulnérabilité injection de script

20020924 Xoops PHP Nuke NPDS daCode Drupal et phpWebSite Cross Site Scripting

Securite informatique

JA-PSI - Sécurité informatique - Tous droits réservés

formation sécurité informatiqe