Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - Dotclear : usurpation de l’url de réinitialisation de mot de passe

décembre 2016 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut définir une url de réinitialisation de mot de
passe malveillante pour Dotclear, afin d’obtenir un mot de passe
saisi par la victime.

Produits concernés : Dotclear.

Gravité : 2/4.

Date création : 05/10/2016.

DESCRIPTION DE LA VULNÉRABILITÉ

Le script admin/auth.php de Dotclear génère l’url permettant de
réinitialiser le mot de passe.

Cependant, ce script utilise l’entête HTTP Host, qui peut être
modifié sur un serveur hébergeant plusieurs sites.

Un attaquant peut donc définir une url de réinitialisation de
mot de passe malveillante pour Dotclear, afin d’obtenir un mot de
passe saisi par la victime.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

https://vigilance.fr/vulnerabilite/Dotclear-usurpation-de-l-url-de-reinitialisation-de-mot-de-passe-20776


Voir les articles précédents

    

Voir les articles suivants