Avis de sécurité ZHFR-1604
| Date de publication: | 02/02/2007 | |
Vulnérabilité: Erreur de validation des entrées
Impact: Accès au système
D'où: A distance
Risque: 
Elevé
Solution: Aucun correctif
SE: Tous
Produit: Phpbb TweakedDétails:
xoron a identifié une vulnerabilité dans Phpbb Tweaked. Celle-ci permettrait à un attaquant de compromettre un système vulnérable.
Les données passées au paramètre "phpbb_root_path" dans includes/functions.php ne sont pas correctement verifiées avant d'inclure des fichiers. Ceci peut être exploité afin d'inclure des fichiers arbitraires depuis des ressources locales ou distantes.
Pour une exploitation réussie "register_globals" doit être activé.
La vulnérabilité a été confirmée dans la version 3. D'autres versions peuvent être affectées.
Solution:
Editer la source et filtrer les variables.
Références:
http://secunia.com/advisories/24001/
http://milw0rm.com/exploits/3235 Avis original
Crédits:
Vulnérabilité découverte par xoron.
En parler sur le forum...
S'inscrire à la liste de diffusion...
