Avis du CERTA : Vulnérabilités dans Dokeos
décembre 2007 par CERT-FR
1 Risque
* Exécution de code arbitraire à distance ;
* attaques de type cross-site scripting.
2 Systèmes affectés
Dokeos versions 1.8.4 et antérieures.
3 Résumé
Plusieurs vulnérabilités dans Dokeos permettent l’exécution de code arbitraire
à distance et la réalisation d’attaques de type cross-site scripting.
4 Description
Plusieurs vulnérabilités ont été découvertes dans Dokeos :
* un utilisateur mal intentionné disposant d’un compte légitime peut, à
l’aide d’un fichier ayant une double extension, exécuter du code arbitraire
à distance ;
* un utilisateur mal intentionné peut réaliser des attaques de type
cross-site scripting au travers de certains fichiers.
5 Solution
L’éditeur a émis un correctif SP1 pour la version 1.8.4 (cf. section
Documentation).
6 Documentation
* Bulletin de sécurité Dokeos du 26 décembre 2007 :
http://www.dokeos.com/wiki/index.php/Security
* Correctif SP1 pour la version 1.8.4 :