Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

XOOPS xoopsOption Path Disclosure Faille

21/01/2007 03H11
Référence Secunia : SA8353
Date de publication : 2003-03-20
Dernière mise à jour : 2005-08-18

Risque : Non Critique. Niveau 1 sur 5.
Impact : Exposition d'informations systèmes
Lieu : A distance

Solutions :
Correctif de l'éditeur

Produit :
Xoops 2.x

Description :
Grégory Le Bras a rapporté une faiblesse dans XOOPS, qui pourrait être exploitée par des personnes malintentionnées afin de divulguer certaines informations sur le système.

L'entrée passée au paramètre "$xoopsOption" variable n'est pas validé correctement, qui pourrait être exploitée à divulguer des informations sur le chemin en passant invalid input à the variable.

Solutions :
Mettre à jour en version 2.0.10 ou supérieure.

Vulnérabilité découverte par :

Grégory Le Bras
Historique :
2005-08-18: Section "Solution" mise à jour.

Référence :
http://www.security-corporation.com/index.php?id=advisories&a=011-FR

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.

Derniers bulletins de sécurité informatique

Bulletins de sécurité informatiques relatifs

20080429 XOOPS Various Bluemoon inc Modules Cross Site Scripting

20080313 XOOPS Tutorials Module tid Injection SQL

20080225 Xoops XM Memberstats Module letter et sortby Injection SQL

20080222 XOOPS Tiny Event Module id Injection SQL

20080222 XOOPS Prayer List Module cid Injection SQL

20070614 Xoops XT Conteudo Module spaw root Inclusion de Fichiers

20070614 Xoops Cjay Content WYSIWYG IE Module spaw root Inclusion de Fichiers

20070613 Xoops Tiny Content Module spaw root Inclusion de Fichiers

20070613 Xoops Horoscope Module xoopsConfig root path Inclusion de Fichiers

20070516 Xoops Resmanager Module id reserv Injection SQL

20070507 XOOPS Flashgames Module lid Injection SQL

20070406 XOOPS WF Links Module cid Injection SQL

20070406 XOOPS Jobs Module cid Injection SQL

20070405 Xoops WF Snippets Module c Injection SQL

20070405 Xoops Rha7 Downloads Module lid Injection SQL

20070403 Xoops Kshop Module id Injection SQL

20070403 Xoops Camportail Module camid Injection SQL

20070402 Xoops RMSoft Gallery System Module idcat Injection SQL

20070328 Xoops Articles Module id Parameter Injection SQL

20060830 Xoops user avatar Parameter Vulnérabilité d'Injection SQL

20060629 Xoops MyAds Module lid Parameter Vulnérabilité d'Injection SQL

20060522 Xoops Vulnérabilités d'Inclusion de Fichiers Locaux

20051115 Xoops WF Downloads Vulnérabilité d'Injection SQL

20051115 Xoops Vulnérabilité d'Inclusion de Fichier Local

20051025 Xoops Vulnérabilités d'Insertion de Script

20050809 XOOPS Vulnérabilités PHPMailer et XML RPC

20050809 XOOPS PHPMailer et XML RPC Vulnérabilités

20050630 Xoops Cross Site Scripting et Injection SQL

20050309 Xoops Avatar Upload File Extension Vulnérabilité

20050131 Xoops Incontent Module Arbitrary Divulgation de Contenu de Fichier

20040901 XOOPS Dictionary Vulnérabilité Cross Site Scripting

20040224 Opt X Arbitrary Vulnérabilité d'Inclusion de Fichier

20031222 Xoops URL Parameter Cross Site Scripting Vulnérabilité

20031208 Xoops Injection SQL et Banner Manipulation Vulnérabilités

20030814 Xoops Cross Site Scripting

20030618 Xoops Tutorials execution de code arbitraire

20030428 XOOPS MyTextSanitizer Cross Site Scripting

20030403 XOOPS Glossary Module Cross Site Scripting

20030320 XOOPS xoopsOption Path Disclosure Faille

20021216 XOOPS Private Message Disclosure Vulnérabilité

20020924 Xoops vulnérabilité injection de script

20020924 Xoops PHP Nuke NPDS daCode Drupal et phpWebSite Cross Site Scripting

Securite informatique

JA-PSI - Sécurité informatique - Tous droits réservés

formation sécurité informatiqe