Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Mod_Survey Script et SQL Insertion Vulnérabilité

21/01/2007 22H17
Référence Secunia : SA11196 
Date de publication : 2004-03-24

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Contournement de la Sécurité
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Mod_Survey 3.0.x

Description :
Joel Palmius a rapporté une vulnérabilité dans Mod_Survey, permettant à des personnes malicieuses de conduire code insertion attaques.

Various input n'est pas proprement filtré avant d'être enregistré. Cela pourrait être exploité pour insérer script ou du code SQL arbitraire, qui sera exécuté quand l'administrateur reads the extrait data avec a viewer comme un navigateur ou insérer them dans an SQL database.

La vulnérabilité a été rapportée en version 3.0.16-pre1 et précédente.


Solutions :
La vulnérabilité a été corrigée en version 3.0.16-pre2 et dans instable branch version 3.2.0-pre4.


Vulnérabilité découverte par :

Joel Palmius

Référence :
http://freshmeat.net/redir/modsurvey/17034/url_changelog/CHANGELOG.txt






Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.