S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 22 novembre 2007
N° CERTA-2007-AVI-507-001
Affaire suivie par: CERT-FR
le 22 novembre 2007

Avis du CERT-FR

Objet: Vulnérabilité dans GuppY

Gestion du document

Référence CERTA-2007-AVI-507-001
Titre Vulnérabilité dans GuppY
Date de la première version 22 novembre 2007
Date de la dernière version 16 avril 2008
Source(s) Note de version 4.5.19 de GuppY
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

  • GuppY versions 4.5.18 et antérieures ;
  • GuppY versions 4.6.1 à 4.6.3.

Résumé

Une vulnérabilité dans GuppY permet l'exécution de code arbitraire à distance.

Description

Une vulnérabilité a été découverte dans GuppY. Elle affecte le fichier error.php. Cette vulnérabilité est connue depuis janvier 2007 mais n'était pas correctement traitée par la version 4.5.17. L'exploitation de cette vulnérabilité permet l'exécution de code arbitraire à distance.

Solution

Installer la version 4.5.19 ou la version 4.6.4.

Documentation

Gestion détaillée du document

    le 22 novembre 2007
    version initiale.
    le 16 avril 2008
    prise en compte de la branche 4.6.