SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection Référence Secunia : SA22607 Date de publication : 2006-11-01 Risque : Moyennement critique. Niveau 3 sur 5. 
Impact : Contournement de la Sécurité, Manipulation de données Lieu : A distance Solutions : Correctif de l'éditeur Produit : Hosting Controller 6.x Description : Soroush Dalili a rapporté quelques vulnérabilités dans Hosting Controller, qui pourraient être exploitées par des utilisateurs malicieux pour passer outre certaines restrictions de sécurité et pour conduire des attaques SQL. 1) Une erreur existe dans la vérification des permissions utilisateur en accédant certains scripts. Cela pourrait être exploité pour créer ou supprimer tout les répertoires virtuels des sites via DisactivateForum.asp et EnableForum.asp. 2) L'entrée passée au paramètre "ForumID" dans DisactivateForum.asp et EnableForum.asp n'est pas correctement filtrée avant d'être utilisée dans des requêtes SQL. Cela pourrait être exploité pour manipuler les interrogations SQL en injectant du code SQL arbitraire. Les vulnérabilités sont rapportées en version 6.1 avec Hotfix 3.2. Les autres versions pourraient également être affectées. Solutions : Installer Hotfix 3.3. http://hostingcontroller.com/english/downloads/HotFixV61_3_3.exe Vulnérabilité découverte par : Soroush Dalili Référence : http://www.kapda.ir/advisory-442.html Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs. |
SECURINFOS
|
|