S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 27 juin 2008
N° CERTA-2008-AVI-341
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans Mambo

Gestion du document

Référence CERTA-2008-AVI-341
Titre Vulnérabilités dans Mambo
Date de la première version27 juin 2008
Date de la dernière version27 juin 2008
Source(s) Annonce sur le forum sécurité de Mambo du 26 juin 2008

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

Mambo versions 4.6.4 et antérieures.

Résumé

Deux vulnérabilités dans Mambo permettent l'exécution de code arbitraire à distance.

Description

Deux vulnérabilités ont été découvertes dans Mambo :

  • une inclusion de fichier distant est possible par l'intermédiaire du fichier /includes/Cache/Lite/Output.php ;
  • une inclusion de fichier local est possible par l'intermédiaire du fichier /includes/core.classes.php.

L'exploitation de ces vulnérabilités permet l'exécution de code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 27 juin 2008
    version initiale.