S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 08 avril 2004
N° CERTA-2004-AVI-113
Affaire suivie par: CERT-FR
le 08 avril 2004

Avis du CERT-FR

Objet: Vulnérabilité sur Dreamweaver

Gestion du document

Référence CERTA-2004-AVI-113
Titre Vulnérabilité sur Dreamweaver
Date de la première version 08 avril 2004
Date de la dernière version 08 avril 2004
Source(s) Avis de sécurité Macromedia
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Atteinte à la confidentialité et à l'intégrité des données.

Systèmes affectés

  • Dreamweaver MX sous IIS ;
  • Dreamweaver UltraDev 4 sous IIS.

Résumé

Une vulnérabilité présente dans un script de test permet à un utilisateur mal intentionné de récupérer des informations confidentielles.

Description

Une vulnérabilité présente dans le script mmhttpdb.asp, utilisé pour tester la connexion à la base de données, permet à un utilisateur non-authentifié, via un numéro d'opération défini dans le script, d'obtenir la liste des informations constituant la base de données.

Un autre numéro d'opération permet d'exécuter n'importe quelle requête SQL sur la base de données.

Un utilisateur mal intentionné peut, via ces deux opérations, accéder en lecture et en écriture à la base de données.

Solution

Supprimer les répertoires de test où se trouve le script mmhttpdb.asp :

  • _mmServerScripts sous Dreamweaver MX ;
  • _mmDBScripts sous Dreamweaver Ultradev.

Documentation

Avis de sécurité Macromedia : 

http://www.macromedia.com/devnet/security/security_zone/mpsb04-05.html

Gestion détaillée du document

    le 08 avril 2004
    version initiale.