Avis de sécurité ZHFR-1603
| Date de publication: | 02/02/2007 | |
Vulnérabilité: Erreur de validation des entrées
Impact:
* Exposition des informations systèmes
* Exposition des informations sensibles
D'où: A distance
Risque: 
Moyen
Solution: Aucun correctif
SE: Tous
Produit: Galeria
Versions affectées: 0.xDétails:
ajann a identifié une vulnérabilité dans Galeria. Celle-ci permettrait à des personnes malintentionnées de divulguer des informations sensibles.
Les données passées au paramètre "galeria" dans zd_numer.php ne sont pas correctement verifiées avant d'inclure des fichiers. Ceci peut être exploité afin d'inclure des fichiers arbitraires depuis des ressources locales.
Pour une exploitation réussie "register_globals" doit être activé.
La vulnérabilité a été confirmée dans la version 0.2. D'autres versions peuvent être affectées.
Solution:
Editer la source et filtrer les variables.
Références:
http://secunia.com/advisories/23956/
http://milw0rm.com/exploits/3225 Avis original
Crédits:
Vulnérabilité découverte par ajann.
En parler sur le forum...
S'inscrire à la liste de diffusion...
