S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 22 juin 2011
N° CERTA-2011-AVI-366
Affaire suivie par: CERT-FR
le 22 juin 2011

Avis du CERT-FR

Objet: Vulnérabilité dans DokuWiki

Gestion du document

Référence CERTA-2011-AVI-366
Titre Vulnérabilité dans DokuWiki
Date de la première version 22 juin 2011
Date de la dernière version 22 juin 2011
Source(s) Annonce de mise à jour de DokuWiki du 14 juin 2011
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Injection de code indirecte à distance.

Systèmes affectés

DokuWiki, versions antérieures à la version 2011-05-25a.

Résumé

Une vulnérabilité dans DokuWiki permet à un utilisateur malveillant de réaliser de l'injection de code indirecte à distance.

Description

Le mécanisme contenu dans DokuWiki pour les flux RSS est détournable. Un utilisateur malveillant peut réaliser de l'injection de code indirecte (XSS) par le biais de ce mécanisme.

Solution

La version 2011-05-25a de DokuWiki corrige ce problème.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 22 juin 2011
    version initiale.