Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Les versions Plume CMS 1.0.3 et antérieures.
Description
Plume CMS est un outil de gestion de contenu pour sites Internet fonctionnant avec PHP et MySQL. Une vulnérabilité a été identifiée dans celui-ci. Il ne vérifierait pas correctement les valeurs attribuées au paramètre _PX_config[manager_path] dans /manager/frontinc/prepend.php.
Un utilisateur malveillant peut profiter de cette vulnérabilité pour inclure des fichiers et exécuter des commandes arbitraires sur le serveur avec les privilèges de celui-ci.
Solution
Se référer à la mise à jour de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site du projet Plume CMS : http://www.plume-cms.net