Risque
- Atteinte à la confidentialité des données ;
- injection de code indirecte à distance.
Systèmes affectés
- Invision Power Board 3.x ;
- Invision Power Board 2.x.
Résumé
Plusieurs vulnérabilités découvertes dans Invision Power Board permettent à un utilisateur distant malveillant de porter atteinte à la confidentialité des données ou de réaliser une injection de code indirecte.
Description
Deux vulnérabilités corrigées dans Invision Power Board permette à une personne malintentionnée de réaliser une attaque par injection de code indirecte. Une troisième vulnérabilité permet à un utilisateur distant malveillant de porter atteinte à la confidentialité des données en ayant accès à un répertoire d'images dont l'emplacement est connu au préalable.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Annonces de correctifs de sécurité d'Invision Power Board du 14 mai 2010 :
http://community.invisionpower.com/topic/310713-ipboard-30x-security-patch-released/
http://community.invisionpower.com/topic/306221-ipboard-236-and-305-security-update/
http://community.invisionpower.com/topic/308032-ipboard-305-security-update/