Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - SPIP : obtention du chemin d’installation via filtres_images

octobre 2011 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer une requête invalide, afin de générer une erreur qui affiche le chemin d’installation de SPIP.

Gravité : 1/4

Date création : 27/10/2011

PRODUITS CONCERNÉS

- SPIP

DESCRIPTION DE LA VULNÉRABILITÉ

Les extensions filtres_images et porte_plume de SPIP utilisent des fichiers PHP, qui sont prévus pour être inclus depuis d’autres fichiers PHP.

Cependant, si ces fichiers sont directement appelés via une requête HTTP, certaines variables ne sont pas initialisées, et un message d’erreur s’affiche si la directive "display_errors" de PHP est active. Ce message d’erreur contient le chemin complet des fichiers.

Un attaquant peut donc employer une requête invalide, afin de générer une erreur qui affiche le chemin d’installation de SPIP.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/S...




Voir les articles précédents

    

Voir les articles suivants