Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer six vulnérabilités de SPIP, afin
d’élever ses privilèges, d’obtenir des informations, ou de mener
un Cross Site Scripting.

Gravité : 2/4

Date création : 23/04/2012

PRODUITS CONCERNÉS

– Debian Linux
– SPIP

DESCRIPTION DE LA VULNÉRABILITÉ

Six vulnérabilités ont été annoncées dans SPIP.

Si un attaquant peut modifier le titre d’une page d’aide, il peut
injecter du code HTML via ecrire/exec/aide_index.php. [grav:1/4]

Un administrateur, qui n’est pas webmestre, est autorisé à
modifier un webmestre via ecrire/inc/autoriser.php. [grav:1/4]

La fonction filtre_text_dist() du fichier ecrire/inc/filtres_mime.php
ne filtre pas correctement les caractères spéciaux. [grav:2/4]

Un attaquant peut provoquer un Cross Site Scripting via la
fonctionnalité de recherche dans la fonction exec_auteurs_args()
du fichier ecrire/exec/auteurs.php. [grav:2/4]

Un attaquant peut employer une redirection pour mener un Cross
Site Scripting dans ecrire/action/logout.php. [grav:2/4]

Une ou plusieurs autres vulnérabilités ont aussi été annoncées.
Les détails techniques ne sont pas connus. [grav:2/4]

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/SPIP-six-vulnerabilites-11563