Rejoignez-nous sur #zone-h @ irc.eu.freenode.net
RECHERCHE
Menu principal
Accueil
Nouvelles de Zone-H
Nouvelles du monde
Avis de sécurité
Téléchargements
Zone-H works
Attaques numériques
 Attaques Francophones
 Archive des attaques
 Archive des attaques 
 Notifier defacements
Restez à l'écoute
 Inscription Listes de diffusion
Zone publique active
 T'chat IRC
 Contact
 Performances du Staff
 Le Staff de Zone-H
AVIS DE SECURITE
Mambo - Injection SQL
 
Avis de sécurité ZHFR-1610
Date de publication: 06/02/2007
Vulnérabilité: Erreur de validation des entrées
Impact: Manipulation de données
D'où: A distance
Risque: Modéré
Solution: Mise à jour
SE: Tous
Produit: Mambo
Versions affectées: 4.x

Détails:
Omid a identifié une vulnerabilité dans Mambo. Celle-ci pourrait être exploitée par des personnes malicieuses afin de conduire des attaques par injection SQL.

Les entrées passées au paramètre "id" dans un script non spécifié ne sont pas correctement filtrées avant d'être utilisées dans une requête SQL après l'annulation de l'edition du contenu. Cela pourrait être exploité afin de manipuler les requêtes SQL en injectant du code SQL arbitraire.

Des identifiants de connexion sont nécessaires pour exploiter la vulnérabilité.

La vulnérabilité a été confirmée dans la version 4.5.4. Les versions antérieures peuvent être affectées.

Solution:
Mise à jour vers la version 4.5.5.

Références:
http://secunia.com/advisories/24044/
http://mamboxchange.com/frs/shownotes.php?release_id=6232 Avis original

Crédits:
Vulnérabilité découverte par Omid.

  En parler sur le forum...
  S'inscrire à la liste de diffusion...

Creative Commons License
Le contenu de ce site est sous Contrat Public Creative Commons.