Rejoignez-nous sur #zone-h @ irc.eu.freenode.net
RECHERCHE
Menu principal
Accueil
Nouvelles de Zone-H
Nouvelles du monde
Avis de sécurité
Téléchargements
Zone-H works
Attaques numériques
 Attaques Francophones
 Archive des attaques
 Archive des attaques 
 Notifier defacements
Restez à l'écoute
 Inscription Listes de diffusion
Zone publique active
 T'chat IRC
 Contact
 Performances du Staff
 Le Staff de Zone-H
AVIS DE SECURITE
PowerDownload - Inclusion de fichiers distants
 
Avis de sécurité ZHFR-240
Date de publication: 31/05/2005
Auteur: SoulBlack Security Research
Vulnérabilité: Inclusion de fichiers distants
Impact: Accès au système
D'où: A distance
Risque: Critique
Solution: Aucun correctif
SE: Tous
Produit: PowerDownload
Versions affectées: <= 3.0.3


Détails:
SoulBlack Security Research a découvert une vulnérabilité dans PowerDownload, celle-ci pourrait être exploitée par des personnes malicieuses afin de compromettre un système vulnérable.

Les données passées au paramètre "incdir" dans "downloads.php" ne sont pas correctement filtrées avant d'être utilisées pour inclure des fichiers. Cela pourrait être exploité par des personnes malicieuses afin d'inclure des fichiers arbitraires de ressources distantes.

Afin que la vulnérabilité soit exploitable, "register_globals" doit être activé dans la configuration de PHP.

La vulnérabilité a été confirmée dans les versions 3.0.2 et 3.0.3, d'autres versions devraient également être affectées.


Solution:
Aucun correctif.

Editer le code source afin de filtrer la variable ou désactiver "register_globals".


Références:
http://secunia.com/advisories/15537/
http://www.soulblack.com.ar/repo/papers/advisory/powerdownload_advisory.txt Avis original

  En parler sur le forum...
  S'inscrire à la liste de diffusion...

Creative Commons License
Le contenu de ce site est sous Contrat Public Creative Commons.