 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 30 octobre 2009
No CERTA-2009-AVI-466 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans CADIC
Intégrale
Tableau 1: Gestion du document
| Référence |
CERTA-2009-AVI-466 |
| Titre |
Multiples
vulnérabilités dans CADIC
Intégrale |
| Date de la première
version |
30 octobre 2009 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité CADIC du 27 octobre
2009 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire à distance
;
- contournement de la politique de sécurité
;
- injection de code indirecte.
CADIC Intégrale.
De multiples vulnérabilités dans CADIC Intégrale permettent, entre
autres, d'exécuter du code arbitraire à
distance.
De multiples vulnérabilités ont
été découvertes dans CADIC Intégrale :
- le téléchargement de fichier (upload) est possible, sans
vérification du contrôle de celui-ci, ce qui
permet d'exécuter du code arbitraire à distance
;
- certaines fonctionnalités sont accessibles
à des profils non autorisés ;
- des injections SQL et des attaques de type cross-site scripting sont possibles via
certains fichiers ;
- certains messages donnent trop d'informations.
Des correctifs sont disponibles sur le site du club de CADIC.
- 30 octobre 2009
- version initiale.
CERTA
2010-01-20
|
|
