|
|
SECURinfos.INFO - Bulletins de sécurité informatique, Alertes et Protection
Drupal IMCE Module : Vulnérabilités Diverses
03/10/2006 16H25
Référence Secunia : SA22261
Risque : Critique. Niveau 4 sur 5. 
Impact : Manipulation de données, Accès au système
Lieu : A distance
Solutions : Correctif de l'éditeur
Produit :
IMCE 4.x (module pour Drupal)
Description :
Quelques vulnérabilités ont été identifiées dans le IMCE Module pour Drupal, qui pourrait être exploitée par des utilisateurs malicieux pour supprimer des fichiers ou compromettre un système vulnérable.
1) Le fichier deletion fonctionnalité does non correctement verify relative paths avant deleting files. En fonction de the permissions du serveur web, cela pourrait être exploité par des utilisateurs malicieux avec the "delete files" permissions pour supprimer des fichiers arbitraires.
2) Une erreur existe dans l'interprétation de fichiers téléversés où un nom de fichier has plusieurs extensions. Cela peut par ex. être exploité pour exécuter du code PHP arbitraire si a users has the "file upload" permission.
Les vulnérabilités ont été identifiées dans les versions 4.7 où le champ CVS $Id$ dans le imce.module file est plus ancien que "$Id: imce.module,v 1.6 2006/09/29 13:50:57 ufku Exp $".
Solutions :
Mettre à jour pour la dernière version.
http://ftp.osuosl.org/pub/drupal/files/projects/imce-4.7.0.tar.gz
Vulnérabilité découverte par :
Rapportée par l'éditeur.
Référence :
http://drupal.org/node/87101
Veuillez noter : L'information sur laquelle est basé ce bulletin Secunia provient d'un tiers sans mention du contraire.
Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.
Derniers bulletins de sécurité informatique
Bulletins de sécurité informatiques relatifs
|
|
|
SECURINFOS