Risques
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
Systèmes affectés
Phorum versions 5.1.14 et antérieures.
Description
Deux vulnérabilités de type php include permettent l'exécution de code arbitraire à distance sur le serveur. L'exploitation de ces failles nécessitent l'activation de la variable register_globals.
Une vulnérabilité permettant de réaliser des attaques de type cross site scripting a également été découverte.
Solution
Mettre à jour Phorum en version 5.1.15 (voir Documentation).
Documentation
- Notes de changement de version 5.1.15 de Phorum du 13 juillet 2006 : http://www.phorum.org/phorum5/read.php?12,114358
- Version 5.1.15 de Phorum : http://www.phorum.org/downloads.php
- Référence CVE CVE-2006-3615 https://www.cve.org/CVERecord?id=CVE-2006-3615