Avis du CERT-FR

Objet: Vulnerabilité dans eZ-Publish

Gestion du document

Référence	CERTA-2012-AVI-510-001
Titre	Vulnerabilité dans eZ-Publish
Date de la première version	17 septembre 2012
Date de la dernière version	17 septembre 2012
Source(s)	Bulletin d'alerte EZSA-2012-010 du 13 septembre 2012
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Injection de code indirecte à distance.

Systèmes affectés

eZ Publish versions 4.0 à 4.7 ;
eZ Publish versions 4.2011 à 4.2012.8.

Résumé

Une vulnérabilité a été corrigée dans eZ-Publish. Lors de la création d'un profil, un utilisateur malveillant peut inserer du code arbitraire qui s'exécutera lors de sa visualisation par un administrateur.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin d'alerte EZSA-2012-010 du 13 septembre 2012 :

http://share.ez.no/community-project/security-advisories/ezsa-2012-010-ez-publish-user-login-cross-site-scripting-xss-vulnerability

Gestion détaillée du document

le 17 septembre 2012: correction URL.