CERTA : Multiples vulnérabilités dans Dokeos
février 2008 par CERT-FR
1 Risque
* injection de code indirecte ;
* injection SQL.
2 Systèmes affectés
Dokeos 1.8.4 sans SP2.
3 Description
De multiples vulnérabilités de type injection SQL et injection de code
indirecte ont été identifiées dans Dokeos. Ces failles sont dues à des
insuffisances de filtrage de données envoyées au serveur, notamment dans les
pages whoisonline.php, class_list.php, inscription.php, myagenda.php,
course_category.php et session_list.php.
4 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
5 Documentation
* Rapport de bogue #2218 de Dokeos :
http://projects.dokeos.com/index.php?do=details&task_id=2218