Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité

Systèmes affectés

WebCalendar versions 1.0.3 et antérieures.

Description

Une vulnérabilité dans le traitement du paramètre includedir permet d'importer sur le serveur un fichier de configuration depuis un site externe. L'exploitation de cette vulnérabilité nécessite le positionnement de la variable register_globals à On dans le fichier php.ini.

Contournement provisoire

Positionner la variable register_globals à Off dans le fichier php.ini.

Solution

Installer la version 1.0.4.

Documentation