Sécurité informatique

securite informatique
     SECURINFOS
     in English
     Bulletins sécurité
     Docs sécurité
     Logiciels sécurité
     Vieux Logiciels
     Forum sécurité
     Services
     Définitions
     Astuces Windows
     MetaSploit
     M$ OPcodes
     Passwords
     Dictionnaires
     Contact
     Liens

SECURINFOS.INFO - Veille en sécurité informatique

Free Hosting Manager Traitement de Cookie Insécurisé Vulnérabilité


07/08/2008 10H16
Référence Secunia : SA31383 
Date de publication : 2008-08-07

Risque : Moyennement Critique. Niveau 3 sur 5. veille securite informatique
Impact : Contournement de la Sécurité
Lieu : A distance


Solutions :
Non corrigée


Produit :
Free Hosting Manager 2.x


Description :
lvlr-Erfan a découvert une vulnérabilité dans Free Hosting Manager, qui pourrait être exploitée par des personnes malintentionnées pour passer outre certaines restrictions de sécurité.

La vulnérabilité est causée du fait que des restrictions d'accès incorrectes lors de l'accès à l'interface d'administration. Cela pourrait être exploité pour passer outre le processus d'authentification et obtenir l'accès à la section d'administration en définissant le "adminuser" et "loggedin" cookies à "1".

La vulnérabilité est confirmée en version 2.0.1. Les autres versions pourraient également être affectées.


Solutions :
Restreindre l'accès à "admin" directory (par ex. via ".htaccess").


Vulnérabilité découverte par :

lvlr-Erfan, Scary-Boys

Référence :
http://milw0rm.com/exploits/6213




Veuillez noter : L'information sur laquelle est basée ce bulletin Secunia provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.

Derniers bulletins de sécurité informatique

Bulletins de sécurité informatiques relatifs

20080918 Free PHP VX Guestbook Vulnérabilités de Contournement de la Sécurité 3
20080807 Free Hosting Manager Insecure Traitement de Cookie Vulnérabilité
20070607 Free PayPal Shopping Cart news id Vulnérabilité d'Injection SQL
20061101 Hosting Controller Vulnérabilités Diverses
20060620 Hosting Controller Vulnérabilité d'Elévation de Privilèges
20060612 free QBoard qb path Parameter Vulnérabilité d'Inclusion de Fichier
20060407 Hosting Controller forum mdb Exposition des Données d'Authentification
20060322 Free Articles Directory page Vulnérabilité d'Inclusion de Fichier
20060310 Hosting Controller search Forum Injection SQL
20060207 Hosting Controller Vulnérabilités d'Injection SQL
20050915 Hosting Controller Exposition de Données Sensibles
20050905 Free SMTP Server Open Mail Relay Vulnérabilité
20050727 Hosting Controller comgetfile asp Divulgation d'Informations
20050718 Hosting Controller Vulnérabilités Diverses
20050629 Hosting Controller error Vulnérabilité Cross Site Scripting
20050531 Hosting Controller UserProfile asp Contournement de l'Authentification
20050530 Hosting Controller jresourceid Vulnérabilité d'Injection SQL
20050523 Cookie Cart Exposure of Order Notifications et Passwords
20050506 Hosting Controller addsubsite asp Contournement de la Sécurité
20050308 Hosting Controller Disclosure of Information
 
Securite informatique

JA-PSI - Sécurité informatique - Tous droits réservés
formation sécurité informatiqe