Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
Systèmes affectés
PMB, versions 3.3 à 3.3.9 et 3.4 à 3.4.3.
Les autres versions ne sont pas maintenues et peuvent être vulnérables.
Résumé
Une vulnérabilité dans le logiciel de gestion de bibliothèque PMB permet à un utilisateur malveillant de porter atteinte à la confidentialité et à l'intégrité des données.
Description
PMB est un logiciel de gestion des bibliothèques.
Une vulnérabilité de type injection SQL est présente dans plusieurs programmes de PMB. Elle permet à un utilisateur malveillant de lire des informations sans droit légitime.
Selon le compte système sous lequel s'exécute le serveur MySQL, l'attaquant peut lire tous les fichiers du système et exécuter n'importe quelle requête dans la base de données.
Cette vulnérabilité est activement exploitée.
Solution
Les versions 3.3.10 et 3.4.4 de PMB remédient à ce problème.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site de téléchargement de PMB http://www.pmbservices.fr/nouveau_site/telecharger_inter.html