Risques

  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

Dokeos versions 1.8.4 et antérieures.

Résumé

Plusieurs vulnérabilités dans Dokeos permettent l'exécution de code arbitraire à distance et la réalisation d'attaques de type cross-site scripting.

Description

Plusieurs vulnérabilités ont été découvertes dans Dokeos :

  • un utilisateur mal intentionné disposant d'un compte légitime peut, à l'aide d'un fichier ayant une double extension, exécuter du code arbitraire à distance ;
  • un utilisateur mal intentionné peut réaliser des attaques de type cross-site scripting au travers de certains fichiers.

Solution

L'éditeur a émis un correctif SP1 pour la version 1.8.4 (cf. section Documentation).

Documentation