Risque
- Exécution indirecte de code
Systèmes affectés
DotClear versions antérieures à 1.2.6.
Résumé
Deux vulnérabilités permettant une exécution indirecte de code (XSS) ont été découvertes dans DotClear.
Description
Deux vulnérabilités dans DotClear permettent à une personne malintentionnée d'effectuer une attaque de type exécution indirecte de code (XSS). Ces failles sont dues à une mauvaise vérification de certains paramètres dans les pages dotclear/ecrire/trackback.php et tools/thememng/index.php.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Mise à jour de sécurité DotClear 1.2.6 : http://www.dotclear.net/log/post/2007/04/10/Dotclear-126