Avis du CERT-FR

Objet: Vulnérabilité dans XOOPS

Gestion du document

Référence	CERTA-2009-AVI-502
Titre	Vulnérabilité dans XOOPS
Date de la première version	17 novembre 2009
Date de la dernière version	17 novembre 2009
Source(s)	Bulletin de mise à jour de XOOPS

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité

Systèmes affectés

XOOPS versions antérieures à 2.4.1.

Résumé

Une vulnérabilité dans XOOPS permet à un utilisateur de faire une demande d'activation sans que l'administrateur du site Web ne soit averti.

Description

La fonction d'envoi de demande d'activation est accessible pour tous les utilisateurs. Cette fonction envoie une demande d'activation sans avertir l'administrateur du site Web.

Solution

Mettre à jour le logiciel (cf. section Documentation).

Documentation

Bulletin de mise à jour du 11 novembre 2009 :

http://www.xoops.org/modules/news/article.php?storyid=5096

Gestion détaillée du document

le 17 novembre 2009: version initiale.