Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Web Wiz Rich Text Editor sub : Vulnérabilité de Traversée de Répertoires

24/01/2008 12H28
Référence Secunia : SA28639 
Date de publication : 2008-01-24

Risque : Non Critique. Niveau 2 sur 5.
Impact : Exposition d'informations systèmes, Exposition de données sensibles
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Web Wiz Rich Text Editor 4.x


Description :
AmnPardaz Security Research Team a rapporté une vulnérabilité dans Web Wiz Rich Text Editor, qui pourrait être exploitée par des personnes malintentionnées pour divulguer des informations sensibles.

L'entrée passée au paramètre "sub" dans RTE_file_browser.asp n'est pas correctement filtrée avant d'être utilisée pour générer des listings de répertoire. Cela pourrait être exploité pour afficher arbitrary des listings de répertoire via des attaques pour traverser les répertoires.

La vulnérabilité est rapportée en version 4.0. Les versions précédentes pourraient également être affectées.


Solutions :
Mettre à jour en version 4.01.
http://www.webwizguide.com/webwizrichtexteditor/downloads.asp


Vulnérabilité découverte par :

AmnPardaz Security Research Team

Référence :
Web Wiz:
http://www.webwizguide.com/webwizrichtexteditor/kb/release_notes.asp

AmnPardaz Security Research Team:
http://www.bugreport.ir/?/31




Veuillez noter : L'information sur laquelle ce bulletin de sécurité Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.