S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 29 mai 2008
No CERTA-2008-AVI-280 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités dans
Mambo
Tableau 1: Gestion du document
| Référence |
CERTA-2008-AVI-280 |
| Titre |
Vulnérabilités
dans Mambo |
| Date de la première
version |
29 mai 2008 |
| Date de la dernière
version |
- |
| Source(s) |
Annonce de la version 4.6.4 de
Mambo du 24 mai 2008 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Injection de code SQL ;
- injections de code indirectes (cross-site scripting).
Mambo versions 4.6.3 et
antérieures.
Plusieurs vulnérabilités affectant Mambo permettent de réaliser
diverses injections.
Trois vulnérabilités ont été
découvertes dans Mambo :
- une injection de code SQL est possible via les
paramètres articleid et mcname du
fichier index.php. L'exploitation de cette
vulnérabilité n'est possible que si la
fonctionnalité magic_quotes_gpc est
désactivée dans le fichier de configuration de
PHP ;
- les entêtes HTTP des réponses
envoyées par le serveur peuvent être
manipulées ;
- des attaques de type cross-site
scripting sont possibles dans MOStlyCE (versions 3.0 et
antérieures). La versions 4.6.4 de Mambo inclut MOStlyCE version 3.05.
Mettre Mambo à jour en
version 4.6.4 (cf. section Documentation).
- 29 mai 2008
- version initiale.
CERTA
2012-01-04
|
)
