Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Simple Machine Forum Avatar : Divulgation d'Informations Faille

22/01/2007 22H04
Référence Secunia : SA16646 
Date de publication : 2005-09-01
Dernière mise à jour : 2005-09-28

Risque : Non Critique. Niveau 1 sur 5.
Impact : Exposition d'informations systèmes
Lieu : A distance


Solutions :
Solution de l'éditeur


Produit :
Simple Machines Forum 1.x

Référence CVE :
CVE-2005-2817


Description :
rgod a découvert un défaut dans Simple Machine Forum, qui pourrait être exploité par des personnes malintentionnées afin de divulguer certaines informations sur le système.

Le défaut est causée à l'application permet aux utilisateurs de utiliser fichiers externes comme avatars. Cela pourrait être exploité pour collecter des informations (par ex. adresses IP, browser types) d'autres utilisateurs, who voir un sujet de forum contenant une image avatar externe.

L'exploitation de ce problème est possible seulement si l'utilisateur est autorisé pour spécifier fichiers externes comme avatar.

Le défaut a été confirmé en version 1.0.5. Les autres versions pourraient également être affectées.


Solutions :
Configurer l'utilisateur group permissions à disallow l'utilisation d'external avatars.


Vulnérabilité découverte par :

rgod
Historique :
2005-09-02: Bulletin mis à jour avec information distribué par l'éditeur.2005-09-28: Référence CVE ajoutée.


Veuillez noter : L'information sur laquelle ce bulletin de sécurité Secunia est basé provient d'un tiers sans mention du contraire.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.