Risque
- Exécution de commandes arbiraires à distance
Systèmes affectés
Mambo 4.5.2.3 et versions antérieures.
Résumé
Une vulnérabilité dans Mambo permet à un utilisateur mal intentionné d'exécuter des commandes arbiraires à distance sur la plate-forme vulnérable.
Description
Mambo est un gestionnaire de contenu écrit en langage PHP.
Une vulnérabilité dans l'émulation register_globals dans le fichier
globals.php permet à un utilisateur mal intentionné d'exécuter des
commandes arbiraires à distance et donc de compromettre la plate-forme
vulnérable.
Solution
En attendant la prochaine version de Mambo, un correctif pour Mambo version 4.5.2.3, publié par l'équipe de développement de Mambo, est disponible à l'adresse suivante :
http://forum.mamboserver.com/showthread.php?t=66154
Documentation
- Bulletin de sécurité Secunia SA17622 du 17 novembre 2005 http://secunia.com/advisories/17622
- Mise à jour FreeBSD pour mambo du 30 novembre 2005 : http://www.vuxml.org/freebsd/pkg-mambo.html
- Site Internet de Mambo : http://www.mamboserver.com