Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

WebAPP E-Cart Module : Vulnérabilité d'Injection de Commande Shell

22/01/2007 15H09
Référence Secunia : SA15054 
Date de publication : 2005-04-22
Dernière mise à jour : 2005-05-02

Risque : Elevé. Niveau 4 sur 5.
Impact : Accès au système
Lieu : A distance


Solutions :
Non corrigée


Produit :
E-Cart 1.x (module pour WebAPP)

Référence CVE :
CVE-2005-1289


Description :
SoulBlack a rapporté une vulnérabilité dans le module E-Cart pour WebAPP, qui pourrait être exploitée par des personnes malintentionnées afin de compromettre un système vulnérable.

L'entrée passée au paramètre "art" dans "index.cgi" n'est pas contrôlée correctement avant d'être utilisée dans un appel "open()". Cela pourrait être exploité pour injecter des commandes shell arbitraires via le caractère "|".

La vulnérabilité a été rapportée en version 1.1. Les autres versions pourraient également être affectées.


Solutions :
Editez le code source pour s'assurer que l'entrée est correctement filtrée.


Vulnérabilité découverte par :

SoulBlack
Historique :
2005-05-02: Référence CVE ajoutée.




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.