|
|
SECURinfos.INFO - Bulletins de sécurité informatique, Alertes et Protection
Xoops user_avatar Parameter : Vulnérabilité d'Injection SQL
30/08/2006 09H48
Référence Secunia : SA21643
Date de publication : 2006-08-28
Dernière mise à jour : 2006-08-29
Risque : Moyennement Critique. Niveau 3 sur 5. 
Impact : Manipulation de données
Lieu : A distance
Solutions : Correctif de l'éditeur
Produit :
Xoops 2.x
Référence CVE :
CVE-2006-4417
Description :
Omid a rapporté une vulnérabilité dans Xoops, qui pourrait être exploitée par des personnes malintentionnées pour conduire des attaques SQL.
L'entrée passée au paramètre "user_avatar" dans edituser.php n'est pas contrôlée correctement avant d'être utilisée dans une requête SQL. Cela pourrait être exploité pour manipuler les interrogations SQL en injectant du code SQL arbitraire.
La vulnérabilité a été rapportée en version 2.0.14. Les versions précédentes pourraient également être affectées.
Solutions :
Mettre à jour en version 2.0.15.
http://www.xoops.org/modules/core/
Vulnérabilité découverte par :
Omid
Historique :
2006-08-29: Référence CVE ajoutée.
Référence :
http://www.hackers.ir/advisories/xoops.html
Veuillez noter : L'information sur laquelle est basé ce bulletin Secunia provient d'un tiers sans mention du contraire.
Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.
Derniers bulletins de sécurité informatique
Bulletins de sécurité informatiques relatifs
|
|
|
SECURINFOS