Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Philboard Admin Access

21/01/2007 12H35
Référence Secunia : SA8898 
Date de publication : 2003-05-30

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Contournement de la Sécurité
Lieu : A distance


Solutions :
Non corrigée


Produit :
Philboard 1.x

Description :
Deux vulnérabilités ont été identifiées dans Philboard, autorisant n'importe qui administrative access et pour consulter la base de données.

Le problème est que admin access seulement est possible seulement si une du following cookie valeurs sont set:
philboard_admin=True
admin=True

No further verification est réalisé, autorisant trivial contourner du "security" mesures.

Also the "philboard.mdb" database est publiquement accessible depuis "database/philboard.mdb".


Solutions :
Editez le code source pour réaliser proper user verification.

Move any ".mdb" file en dehors de la racine web.


Vulnérabilité découverte par :

AresU


Veuillez noter : L'information sur laquelle ce bulletin de sécurité Secunia est basé provient d'un tiers sans mention du contraire.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.