Avis du CERT-FR

Objet: Vulnérabilité sur Phorum

Gestion du document

Référence	CERTA-2005-AVI-328
Titre	Vulnérabilité sur Phorum
Date de la première version	05 septembre 2005
Date de la dernière version	05 septembre 2005
Source(s)	Site Internet de Phorum
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de script malicieux.

Systèmes affectés

Phorum versions 5.x antérieures à la version 5.0.18.

Description

Phorum est une application PHP utilisée pour créer un forum internet.

Une vulnérabilité de type « cross site scripting » (cf CERTA-2002-INF-001) est présente dans Phorum. Un utilisateur mal intentionné peut, par le biais du champ Username dans la fonction register.php, insérer un script malicieux.

Solution

Mettre à jour avec la version 5.0.18 de Phorum.

Documentation

Site Internet de Phorum :
```
http://phorum.org/
```

Mise à jour de Phorum :

http://phorum.org/downloads/phorum-5.0.18.tar.gz

Changelog de Phorum :
```
http://phorum.org/changelog-5.txt
```

Gestion détaillée du document

le 05 septembre 2005: version initiale.