Risque

  • Injection de code indirecte ;
  • injection SQL.

Systèmes affectés

Xoops versions 2.4.2 et antérieures.

Résumé

Deux vulnérabilités dans Xoops permettent de réaliser des injections diverses.

Description

Deux vulnérabilités ont été découvertes dans Xoops :

  • un problème dans le module PM permet de réaliser une injection de code indirecte ;
  • une faille dans le fichier kernel/notification.php permet de réaliser une injection SQL.

Solution

Mettre Xoops à jour en version 2.4.3 (cf. section Documentation).

Documentation