Risques
- Contournement de la politique de sécurité
- Injection de code indirecte à distance (XSS)
Systèmes affectés
Invision Power Board versions 2.1.6 (avant le 30 juin 2006) et antérieures.
Description
Deux vulnérabilités ont été découvertes dans Invision Power Board :
- Une vulnérabilité a été découverte, permettant à des modérateurs d'intervenir sur des forums pour lesquels ils n'ont pas les droits de modération ;
- une vulnérabilité dans le traitement des URL au moment de l'ajout d'un avatar permet de réaliser une attaque de type cross site scripting.
Solution
Installer la version 2.1.6 postérieure au 30 juin 2006.
Documentation
- Message posté le 30 juin 2006 sur le forum d'Invision Power http://forums.invisionpower.com/index.php?showtopic=220787
- Téléchargement d'Invision Power Board : http://www.invisionpower.com/download/index.php?s=0&act=dl&s=1&id=57&p=1