Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Simple Invoices module/view : Vulnérabilité d'Inclusion de Fichier Local

05/02/2007 15H25
Référence Secunia : SA24040
Date de publication : 2007-02-05

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Exposition de données sensibles
Lieu : A distance

Solutions :
Correctif de l'éditeur

Produit :
Simple Invoices

Description :
Une vulnérabilité a été rapportée dans Simple Invoices, qui pourrait être exploitée par des personnes malintentionnées pour divulguer des informations sensibles.

L'entrée passée au paramètre "module" et "view" dans controller.php n'est pas vérifiée correctement avant d'être utilisée pour inclure des fichiers. Cela pourrait être exploité pour inclure des fichiers arbitraires depuis des ressources locales via des attaques pour traverser les répertoires.

L'exploitation de ce problème est possible seulement si "register_globals" est actif et "magic_quotes_gpc" est désactivé.

Solutions :
Mettre à jour en version 20070202.

Vulnérabilité découverte par :

Rapportée par l'éditeur.

Référence :
http://www.simpleinvoices.org/index.php?news=25

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.

Derniers bulletins de sécurité informatique

Bulletins de sécurité informatiques relatifs

20081105 Simple Machines Forum Requete Cross Site Forgée Vulnérabilité 3

20081105 Simple Document Management System login et pass Injection SQL 3

20080717 Simple Machines Forum HTML Tag Vulnérabilité

20080403 Simple Gallery album Cross Site Scripting

20080212 Simple Machines Forum SMF Shoutbox Mod Insertion de Script

20080129 Simple Forum Vulnérabilités Diverses

20070926 Simple PHP Blog Cross Site Scripting et Upload de Fichier Vulnérabilités

20070417 Simple PHP Scripts Gallery gallery Inclusion de Fichiers

20070305 Simple Invoices PDF Print Preview Contournement de la Sécurité

20070226 Simple one file gallery f Vulnérabilité Cross Site Scripting

20070205 Simple Invoices module view Vulnérabilité d'Inclusion de Fichier Local

20061121 mod auth kerb der get oid Vulnérabilité Off By One

20060921 Simple Discussion Board Remote Vulnérabilités d'Inclusion de Fichiers

20060809 Simple one file guestbook Contournement de l'Authentification

20060320 Simple PHP Blog blog language Inclusion de Fichier Local

20060224 Simple Machines Forum X Forwarded For Insertion de Script

20060106 mod auth pgsql Apache Module Format String

20051128 Simple Document Management System Vulnérabilité d'Injection SQL

20051102 Simple PHP Blog Vulnérabilités Cross Site Scripting

20050905 mod ssl SSLVerifyClient Contournement de la Sécurité Faille de Sécurité

20050901 Simple Machine Forum Avatar Divulgation d'Informations Faille

20050830 Simple PHP Blog comment delete cgi php Suppression de Fichier Arbitraire

20050826 Simple PHP Blog Image Vulnérabilité d'Upload de Fichier

20050708 Simple PHP Blog Exposition des Données d'Authentification

20050623 Simple Machines msg Vulnérabilité d'Injection SQL

20050419 Simple Web Server Request Handling Buffer Overflow

20041015 mod ssl SSLCipherSuite Contournement de la Sécurité

20040816 Simple Form Open Mail Relay Vulnérabilité

20040716 mod ssl mod proxy Hook Functions Vulnérabilité de Format de Chaines

20040317 mod security POST Request Processing Vulnérabilité Off By One

20040122 mod perl File Descriptor Leakage Vulnérabilité

20040113 mod auth shadow Account Expiry Date Not Enforced

20031029 mod security Server Output Buffer Overflow

20030729 mod mylo HTTP GET Request Vulnérabilité de Dépassement de Tampon

20030603 mod gzip Vulnérabilités Diverses

20030423 mod ntlm Heap Overflow et Vulnérabilité de Format de Chaines

20030417 mod access referer Déni de Service

20030310 Simple File Manager Script Injection Vulnérabilité

20021111 Simple Web Server Divulgation de Fichier

Securite informatique

JA-PSI - Sécurité informatique - Tous droits réservés

formation sécurité informatiqe