Avis de sécurité ZHFR-1609
| Date de publication: | 05/02/2007 | |
Vulnérabilité: Erreur de validation des entrées
Impact: Accès au système
D'où: A distance
Risque: 
Elevé
Solution: Aucun correctif
SE: Tous
Produit: Epistemon
Versions affectées: 1.xDétails:
GolD_M a identifié une vulnerabilité dans Epistemon. Celle-ci permettrait à un attaquant de compromettre un système vulnérable.
Les données passées au paramètre "inc_path" dans plateforme/code/inc/common.inc.php ne sont pas correctement verifiées avant d'inclure des fichiers. Ceci peut être exploité afin d'inclure des fichiers arbitraires depuis des ressources locales ou distantes.
Pour une exploitation réussie "register_globals" doit être activé.
La vulnérabilité a été confirmée dans la version 1.0. D'autres versions peuvent être affectées.
Solution:
Editer la source et filtrer les variables.
Références:
http://secunia.com/advisories/24003/
http://milw0rm.com/exploits/3247 Avis original
Crédits:
Vulnérabilité découverte par GolD_M a.k.a. Mahmnood_ali.
En parler sur le forum...
S'inscrire à la liste de diffusion...
