Risques
- Exécution de code arbitraire à distance
- Injection de code SQL
Systèmes affectés
DotClear 1.x.
Résumé
Une vulnérabilité dans DotClear permet à un utilisateur mal itentionné d'injecter du code SQL arbitraire à distance.
Description
DotClear est un outil de publication sur l'Internet de type Weblog.
Une vulnérabilité dans la validation des paramètres fournit par le cookie du poste client permet à utilisateur d'exécuter à distance, sur le serveur vulnérable, du code SQL arbitraire à distance.
Solution
Appliquer la mise à jour de sécurité DotClear en passant à la version 1.2.3 disponible à l'adresse suivante :
http://www.dotclear.net/download.html
Documentation
- Mise à jour de sécurité DotClear v1.2.3 du 30 novembre 2005 : http://www.dotclear.net/download.html