|
|
SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection
Web+Shop storeid : Divulgation de Chemin Complet Faille
14/04/2006 16H30
Référence Secunia : SA19662
Risque : Faible. Niveau 1 sur 5. 
Impact : Exposition d'informations systèmes
Lieu : A distance
Solutions :
Non corrigée
Produit :
Web+Shop 5.x
Description :
Revnic Vasile a rapporté une faiblesse dans Web+Shop, qui pourrait être exploitée par des personnes malintentionnées afin de divulguer des informations système.
Le problème est qu'il est possible de divulguer le chemin complet vers l'installation en accèdant "webplus.exe" avec un invalid "storeid" .
Exemple :
http://[hôte]/cgi-bin/webplus.exe?script=/webpshop/store.wml&storeid='
Le défaut a été rapporté en version 5.3.6. Les autres versions pourraient également être affectées.
Solutions :
Configurer l'application pour s'assurer que des messages d'erreurs contenant le chemin complet vers l'installation ne sont pas retournés aux utilisateurs (par ex. en redirigeant les utilisateurs vers une autre page).
Vulnérabilité découverte par :
Revnic Vasile
Veuillez noter : L'information, sur laquelle est basé ce bulletin Secunia, provient d'un tiers sans mention du contraire.
Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.
Derniers bulletins de sécurité informatique
Bulletins de sécurité informatiques relatifs
|
|
|
SECURINFOS