Risque
- Injection de code indirecte ;
- injection SQL.
Systèmes affectés
Xoops versions 2.4.2 et antérieures.
Résumé
Deux vulnérabilités dans Xoops permettent de réaliser des injections diverses.
Description
Deux vulnérabilités ont été découvertes dans Xoops :
- un problème dans le module PM permet de réaliser une injection de code indirecte ;
- une faille dans le fichier kernel/notification.php permet de réaliser une injection SQL.
Solution
Mettre Xoops à jour en version 2.4.3 (cf. section Documentation).
Documentation
- Annonce de la version 2.4.3 de Xoops du 31 décembre 2009 :
http://www.xoops.org/modules/news/article.php?storyid=5178