Avis de sécurité ZHFR-486
| Date de publication: | 25/08/2005 | |
Auteur: Alexander Heidenreich
Vulnérabilité: Erreur de validation des données
Impact: Contournement de sécurité
D'où: A distance
Risque: 
Moyen
Solution: Correctif
SE: Tous
Produit: FUDforum
Versions affectées: 2.xDétails:
Alexander Heidenreich a découvert une vulnérabilité dans FUDforum, celle-ci pourrait être exploitée par des personnes malicieuses afin de contourner certaines restrictions de sécurité.
Les données passées au paramètre "mid" ne sont pas correctement validées avant d'être utilisées pour récupérer le message d'un forum. Cela pourrait être exploité afin d'afficher les messages postés dans des forums privés.
Afin que la vulnérabilité soit exploitable, la fonctionnalité "Tree View" doit être activée.
La vulnérabilité a été confirmée dans la version 2.6.15, d'autres versions devraient également être affectées.
Solution:
Mettre à jour vers la version 2.7.0 RC1.
Références:
http://secunia.com/advisories/16414/
http://seclists.org/lists/fulldisclosure/2005/Aug/0381.html Avis original
En parler sur le forum...
S'inscrire à la liste de diffusion...
