S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 17 novembre 2009
N° CERTA-2009-AVI-502
Affaire suivie par: CERT-FR
le 17 novembre 2009

Avis du CERT-FR

Objet: Vulnérabilité dans XOOPS

Gestion du document

Référence CERTA-2009-AVI-502
Titre Vulnérabilité dans XOOPS
Date de la première version 17 novembre 2009
Date de la dernière version 17 novembre 2009
Source(s) Bulletin de mise à jour de XOOPS
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité.

Systèmes affectés

XOOPS versions antérieures à 2.4.1.

Résumé

Une vulnérabilité dans XOOPS permet à un utilisateur de faire une demande d'activation sans que l'administrateur du site Web ne soit averti.

Description

La fonction d'envoi de demande d'activation est accessible pour tous les utilisateurs. Cette fonction envoie une demande d'activation sans avertir l'administrateur du site Web.

Solution

Mettre à jour le logiciel (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 17 novembre 2009
    version initiale.