|
|
SECURINFOS.INFO - Veille en sécurité informatique
WEB//NEWS WN_BASEDIR Parameter : Inclusion de Fichiers
10/09/2008 20H08
Référence Secunia : SA220762006-09-27
Dernière mise à jour : 2006-10-03
Elevé. Niveau 4 sur 5. 
Impact : Accès au système
Lieu : A distance
Solutions :
Correctif de l'éditeur
Produit :
WEB//NEWS 1.x
Référence CVE :
CVE-2006-5100
Description :
ThE-WoLf-KsA a découvert une vulnérabilité dans WEB//NEWS, qui pourrait être exploitée par des personnes malintentionnées afin de compromettre un système vulnérable.
L'entrée passée au paramètre "WN_BASEDIR" dans parse/parser.php n'est pas vérifiée correctement avant d'être utilisée pour inclure des fichiers. Cela pourrait être exploité pour inclure des fichiers arbitraires depuis des ressources externes et locales.
L'exploitation de ce problème est possible seulement si "register_globals" est actif.
La vulnérabilité est confirmée en version 1.4. Les autres versions pourraient également être affectées.
Solutions :
Appliquer le correctif.
http://www.stylemotion.de/news-id21-sicherheitspatch-web-news.html
Vulnérabilité découverte par :
ThE-WoLf-KsA
Historique :
2006-10-03: Mise à jour de la section "Solution".
Référence :
http://milw0rm.com/exploits/2435
Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.
Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.
Derniers bulletins de sécurité informatique
Bulletins de sécurité informatiques relatifs
|
|
|
SECURINFOS