Avis de sécurité ZHFR-1602
| Date de publication: | 02/02/2007 | |
Vulnérabilité: Erreur de validation des entrées
Impact: Accès au système
D'où: A distance
Risque: 
Elevé
Solution: Aucun correctif
SE: Tous
Produit: MyNews CMS
Versions affectées: 4.xDétails:
GolD_M a identifié une vulnerabilité dans MyNews. Celle-ci permettrait à un attaquant de compromettre un système vulnérable.
Les données passées au paramètre "myNewsConf[path][sys][index]" dans themes/themefunc.php ne sont pas correctement verifiées avant d'inclure des fichiers. Ceci peut être exploité afin d'inclure des fichiers arbitraires depuis des ressources locales ou distantes.
Pour une exploitation réussie "register_globals" doit être activé.
La vulnérabilité a été confirmée dans la version 4.2.2. D'autres versions peuvent être affectées.
Solution:
Editer la source et filtrer les variables.
Références:
http://secunia.com/advisories/23973/
Crédits:
Vulnérabilité découverte par GolD_M.
En parler sur le forum...
S'inscrire à la liste de diffusion...
