Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Élévation de privilèges
Systèmes affectés
DotNetNuke versions antérieures à 4.9.0.
Résumé
De multiples vulnérabilités dans DotNetNuke permettent à une personne distante malintentionnée de porter atteinte à la confidentialité des données, d'élever ses privilièges et/ou de contourner la politique de sécurité.
Description
Trois vulnérabilités ont été corrigées dans DotNetNuke :
- une erreur dans la validation de l'identité des utilisateurs permet à une personne d'élever ses privilèges ;
- une erreur de validation dans le chargement de thèmes peut être exploitée pour contourner la politique de sécurité ;
- dans certaines circonstances il est possible de visionner la version du logiciel utilisé.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité DotNetNuke #21 du 09 septembre 2008 : http://www.dotnetnuke.com/News/SecurityPolicy/Securitybulletinno21/tabid/1174/Default.aspx
- Bulletin de sécurité DotNetNuke #22 du 10 septembre 2008 : http://www.dotnetnuke.com/News/SecurityPolicy/Securitybulletinno22/tabid/1175/Default.aspx
- Bulletin de sécurité DotNetNuke #23 du 10 septembre 2008 : http://www.dotnetnuke.com/News/SecurityPolicy/Securitybulletinno23/tabid/1176/Default.aspx
- Site de téléchargement de DotNetNuke : http://www.dotnetnuke.com
