S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 22 novembre 2007
N° CERTA-2007-AVI-507
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans GuppY

Gestion du document

Référence CERTA-2007-AVI-507
Titre Vulnérabilité dans GuppY
Date de la première version22 novembre 2007
Date de la dernière version16 avril 2008
Source(s) Note de version 4.5.19 de GuppY
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • GuppY versions 4.5.18 et antérieures ;
  • GuppY versions 4.6.1 à 4.6.3.

Résumé

Une vulnérabilité dans GuppY permet l'exécution de code arbitraire à distance.

Description

Une vulnérabilité a été découverte dans GuppY. Elle affecte le fichier error.php. Cette vulnérabilité est connue depuis janvier 2007 mais n'était pas correctement traitée par la version 4.5.17. L'exploitation de cette vulnérabilité permet l'exécution de code arbitraire à distance.

Solution

Installer la version 4.5.19 ou la version 4.6.4.

Documentation

Gestion détaillée du document

    le 22 novembre 2007
    version initiale.
    le 16 avril 2008
    prise en compte de la branche 4.6.