S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 19 décembre 2008
N° CERTA-2008-AVI-607
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans Sympa

Gestion du document

Référence CERTA-2008-AVI-607
Titre Vulnérabilités dans Sympa
Date de la première version19 décembre 2008
Date de la dernière version19 décembre 2008
Source(s) Annonce de la version 5.4.4 de Sympa du 18 décembre 2008

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Injection de code indirecte
  • Élévation de privilèges

Systèmes affectés

Sympa versions 5.4.x antérieures à 5.4.4.

Résumé

Deux vulnérabilités dans Sympa permettent une élévation des privilèges et une injection SQL.

Description

Deux vulnérabilités ont été corrigées dans Sympa :

  • une élévation des privilèges est possible, par l'intermédiaire des fichiers temporaires ;
  • une injection de requêtes SQL est possible en manipulant les cookies.

Solution

La version 5.4.4 de Sympa corrige ces vulnérabilités.

Documentation

Gestion détaillée du document

    le 19 décembre 2008
    version initiale.