Risques

  • Contournement de la politique de sécurité
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

Invision Power Board versions 2.1.6 (avant le 30 juin 2006) et antérieures.

Description

Deux vulnérabilités ont été découvertes dans Invision Power Board :

  • Une vulnérabilité a été découverte, permettant à des modérateurs d'intervenir sur des forums pour lesquels ils n'ont pas les droits de modération ;
  • une vulnérabilité dans le traitement des URL au moment de l'ajout d'un avatar permet de réaliser une attaque de type cross site scripting.

Solution

Installer la version 2.1.6 postérieure au 30 juin 2006.

Documentation