Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Joomla, injection SQL de com_bookjoomlas

avril 2009 par Vigil@nce

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut provoquer une injection SQL dans l’extension com_bookjoomlas de Joomla.

Gravité : 2/4

Conséquences : lecture de données, création/modification de données

Provenance : client internet

Moyen d’attaque : 1 attaque

Compétence de l’attaquant : technicien (2/4)

Confiance : source unique (2/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 10/04/2009

PRODUITS CONCERNÉS

- Joomla !

DESCRIPTION DE LA VULNÉRABILITÉ

L’extension BookJoomlas (com_bookjoomlas) fournit un "guestbook" pour les sites Joomla.

Le script sub_commententry.php de BookJoomlas utilise directement son paramètre "gbid" dans une requête SQL.

Un attaquant peut donc ajouter des commandes SQL à l’url afin d’obtenir les mots de passe des utilisateurs.

CARACTÉRISTIQUES

Références : BID-34392, CVE-2009-1263, VIGILANCE-VUL-8620

http://vigilance.fr/vulnerabilite/Joomla-injection-SQL-de-com-bookjoomlas-8620




Voir les articles précédents

    

Voir les articles suivants