Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Nuke ET Your_Account User Deletion Vulnérabilité

06/04/2007 21H15
Référence Secunia : SA24800 
Date de publication : 2007-04-06

Risque : Non Critique. Niveau 2 sur 5.
Impact : Manipulation de données
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Nuke ET 3.x

Description :
mrzayas a rapporté une vulnérabilité dans Nuke ET, qui pourrait être exploitée par des personnes malintentionnées pour supprimer des utilisateurs arbitraires.

La vulnérabilité est causée du fait d'une erreur dans modules/Your_Account/index.php, qui pourrait être exploitée pour supprimer des utilisateurs arbitraires en créant un cookie spécialement construit et appelant modules.php avec "name" défini à "Your_Account" et "op" défini à "borrado".

L'exploitation de ce problème requière la connaissance de l'ID de l'utilisateur cible et user name.

La vulnérabilité est rapportée dans Nuke ET 3.4 précédente pour corriger 7.


Solutions :
Appliquer fix 7.
http://truzone.org/modules.php?name=DescNuke&d_op=getit&lid=1808


Vulnérabilité découverte par :

mrzayas

Référence :
http://truzone.org/modules.php?name=Forums&file=viewtopic&p=287012




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.