Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Xmco Partners : prise de contrôle d’un serveur hégergeant le CMS eZ Publish

décembre 2008 par XMCO PARTNERS

- Date : 12 Decembre 2008

- Plateforme : Toutes

- Programme : eZ Publish

- Gravité : Moyenne

- Exploitation : Distante

- Dommage : Accès au système

- Description :

Une vulnérabilité non corrigée a été détectée au sein du CMS (Content Management System) eZ Publish. Cette faille de sécurité permet à un attaquant distant de prendre le contrôle du serveur hébergeant l’application vulnérable.

Le problème résulte d’une mauvaise gestion des packages ezpkg. Une personne authentifiée sur la page d’administration du CMS est en mesure d’uploader un package malicieux. Celui-ci permet alors d’exécuter directement des commandes sur le système sous-jacent.

Note : Cette vulnérabilité couplée à celle décrite dans le bulletin XMCO 1228907468 [2] est extrêmement critique. Cet exploit a été testé et est fonctionnel en l’état.

- Vulnérable :
* 3.9.5
* 3.10.1

- Référence :
[1] http://www.milw0rm.com/exploits/7421
[2] http://xmcopartners.com/veille/client/index.xmco?nv=1228907468

- Correction :
Pour le moment aucun correctif n’est disponible, mais il est possible de réduire l’impact en modifiant la configuration PHP du serveur afin de ne pas autoriser l’utilisation de certaines fonctions PHP telles que system(), passthru() et system().

- Lien extranet XMCO : http://xmcopartners.com/veille/client/index.xmco?nv=1229075755




Voir les articles précédents

    

Voir les articles suivants