Risques

  • Exécution de code arbitraire à distance
  • Injection de code SQL

Systèmes affectés

DotClear 1.x.

Résumé

Une vulnérabilité dans DotClear permet à un utilisateur mal itentionné d'injecter du code SQL arbitraire à distance.

Description

DotClear est un outil de publication sur l'Internet de type Weblog.

Une vulnérabilité dans la validation des paramètres fournit par le cookie du poste client permet à utilisateur d'exécuter à distance, sur le serveur vulnérable, du code SQL arbitraire à distance.

Solution

Appliquer la mise à jour de sécurité DotClear en passant à la version 1.2.3 disponible à l'adresse suivante :

http://www.dotclear.net/download.html

Documentation