Vigil@nce : Dotclear, élévation de privilèges
juin 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Dans certaines configurations, un attaquant peut devenir
l’administrateur Dotclear.
– Gravité : 2/4
– Date création : 15/06/2011
PRODUITS CONCERNÉS
– Dotclear
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Dotclear fournit un environnement de publication de
blogs.
Dans certaines configurations, un attaquant peut devenir
l’administrateur Dotclear. Les détails techniques ne sont pas
connus.
Cette vulnérabilité pourrait être liée à la variable HTTP
"login_data" qui est désérialisée pour générer les variables
"user_id", "cookie_admin" et "user_remember".
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Dotclear-elevation-de-privileges-10751