Avis du CERT-FR

Objet: Vulnérabilité dans DokuWiki

Gestion du document

Référence	CERTA-2009-AVI-199
Titre	Vulnérabilité dans DokuWiki
Date de la première version	27 mai 2009
Date de la dernière version	27 mai 2009
Source(s)	Rapport de bogue DokuWiki du 26 mai 2009
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

DokuWiki versions 2009-02-14, rc2009-02-06 et rc-2009-01-30.

Résumé

Une vulnérabilité dans DokuWiki permet d'exécuter du code arbitraire à distance.

Description

Une vulnérabilité permettant l'inclusion de fichiers PHP locaux a été découverte dans DokuWiki. Un utilisateur malintentionné peut, par l'intermédiaire d'un code PHP inséré dans du contenu éditable ou d'un fichier déposé, exécuter du code arbitraire à distance.

Solution

Mettre DokuWiki à jour en version 2009-02-14b.

Documentation

Rapport de bogue DokuWiki du 26 mai 2009 :

http://bugs.splitbrain.org/index.php?do=details&task_id=1700

Téléchargement de DokuWiki :

http://www.splitbrain.org/projects/dokuwiki

Gestion détaillée du document

le 27 mai 2009: version initiale.