Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - WordPress NextGEN Gallery : upload de fichier sans authentification

juin 2013 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant non authentifié peut directement utiliser le script d’upload de WordPress NextGEN Gallery, afin de déposer un fichier sur le serveur.

Produits concernés : WordPress Plugins

Gravité : 2/4

Date création : 13/06/2013

DESCRIPTION DE LA VULNÉRABILITÉ

Le plugin NextGEN Gallery permet de télécharger (upload) et afficher des images.

Une authentification est normalement nécessaire pour uploader des images. Cependant, un attaquant peut directement appeler le script ngggallery.php, sans utiliser de cookie d’authentification.

Un attaquant non authentifié peut donc directement utiliser le script d’upload de WordPress NextGEN Gallery, afin de déposer un fichier sur le serveur.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/W...


Voir les articles précédents

    

Voir les articles suivants