Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Securinfos : TECHNOTE shop_this_skin_path, Vulnérabilité d’Inclusion de Fichier

avril 2009 par Marc Jacob

make0day a rapporté une vulnérabilité dans TECHNOTE, qui pourrait être exploitée par des personnes malintentionnées afin de compromettre un système vulnérable.

L’entrée passée au paramètre "shop_this_skin_path" dans skin_shop/standard/2_view_body/body_default.php (quand "GOODS[no]" et "GOODS[gs_input]" sont définis à des valeurs arbitraires) n’est pas vérifiée correctement avant d’être utilisée pour inclure des fichiers. Cela pourrait être exploité pour inclure des fichiers arbitraires depuis des ressources locales ou externes.

L’exploitation de ce problème est possible seulement si "register_globals" est actif.

La vulnérabilité est rapportée en version 7.2 (08.09.25). Les autres versions pourraient également être affectées.

https://www.securinfos.info/alertes-bulletins-securite/20090429-TECHNOTE-shop-this-skin-path-Vulnerabilite-d-Inclusion-de-Fichier-4.php


Voir les articles précédents

    

Voir les articles suivants