Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Xmco Partners : prise de contrôle d’un serveur hégergeant le CMS eZ Publish

décembre 2008 par XMCO PARTNERS

 Date : 12 Decembre 2008

 Plateforme : Toutes

 Programme : eZ Publish

 Gravité : Moyenne

 Exploitation : Distante

 Dommage : Accès au système

 Description :

Une vulnérabilité non corrigée a été détectée au sein du CMS (Content
Management System) eZ Publish. Cette faille de sécurité permet à un
attaquant distant de prendre le contrôle du serveur hébergeant
l’application vulnérable.

Le problème résulte d’une mauvaise gestion des packages ezpkg. Une
personne authentifiée sur la page d’administration du CMS est en mesure
d’uploader un package malicieux.
Celui-ci permet alors d’exécuter directement des commandes sur le système
sous-jacent.

Note : Cette vulnérabilité couplée à celle décrite dans le bulletin XMCO
1228907468 [2] est extrêmement critique.
Cet exploit a été testé et est fonctionnel en l’état.

 Vulnérable :
* 3.9.5
* 3.10.1

 Référence :
[1] http://www.milw0rm.com/exploits/7421
[2] http://xmcopartners.com/veille/client/index.xmco?nv=1228907468

 Correction :
Pour le moment aucun correctif n’est disponible, mais il est possible de
réduire l’impact en modifiant la configuration PHP du serveur afin de ne
pas autoriser l’utilisation de certaines fonctions PHP telles que
system(), passthru() et system().

 Lien extranet XMCO :
http://xmcopartners.com/veille/client/index.xmco?nv=1229075755


Voir les articles précédents

    

Voir les articles suivants