Risques

  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

Phorum versions 5.1.14 et antérieures.

Description

Deux vulnérabilités de type php include permettent l'exécution de code arbitraire à distance sur le serveur. L'exploitation de ces failles nécessitent l'activation de la variable register_globals.

Une vulnérabilité permettant de réaliser des attaques de type cross site scripting a également été découverte.

Solution

Mettre à jour Phorum en version 5.1.15 (voir Documentation).

Documentation