Sécurité
Vulnérabilités BlogPHP 2.x
Publié le 11-02-2008 dans le thème Réseau - Sécurité
Pays : International - Auteur : Eric Romang
Pub : 100 DVD vierges déjà pour 22,90 EUR
Attaque du type cross-site scripting (XSS) et injection SQL par le biais de BlogPHP 2.x.
Dr.Crash a rapporté des vulnérabilités, classifiées comme "moyennement critiques", pour BlogPHP 2.x, qui pourraient être exploitées par un internaute malveillant pour effectuer des attaques du type cross-site scripting (XSS) et des attaques du type injection SQL.
Les entrées envoyées au paramètre "id" du script "index.php" (lorsque "act" est configuré à "page") ne sont pas traitées correctement avant d'être utilisées dans des requêtes SQL. Cette erreur pourrait être exploitée pour injection du code SQL arbitraire.
L'exploitation pourrait permettre, par exemple, de récupérer les hash des identifiants des utilisateurs et des administrateurs, mais requiert la connaissance du préfix des tables.
L'exploitation requiert que la directive PHP "magic_quotes_gpc" soit désactivée.
Les entrées envoyées au paramètre "search" du script "index.php" ne sont pas traitées correctement avant d'être retournées à l'utilisateur. Cette erreur pourrait être exploitée pour injecter du code HTML et javascript arbitraire qui pourra être exécuté dans le contexte de navigation de l'internaute cible.
Les vulnérabilités ont été confirmées pour la version 2.0. D'autres versions peuvent être affectées.
# Liens connexes
Alerte de sécurité Secunia (en anglais)
Derniers contenus
Vulnérabilité critique dans MessengerFX
Un client très populaire pour Windows Live Messenger, MessengerFX, laisse la possibilité à un pirate d'accéder à la liste des contacts d'un utilisateur légitime.
L’OTAN s'arme face aux cyberguerriers
Le Centre de formation à la défense contre des attaques cybernétiques sur Internet va ouvrir en Estonie.
Network Products Guide DefensePro
Radware reçoit le prix de l’innovation produit 2008 du Network Products Guide DefensePro, lauréat dans la catégorie de la sécurité comportementale.
Scene 1, bobine 2. Deconnexion de pirate Internet, action
La première déconnexion pour piratage de musique sur Internet vient de toucher un pirate informatique pas comme les autres. Un gouvernement !
Veni, Vidi, Wistee
Nouvelle attaque informatique de type hameçonnage visant les clients de Paypal. Wistee de nouveau exploité par des pirates.
NDS jugé non coupable de piratage informatique
Le jugement sur l'affaire du piratage du système de chiffrement des chaînes de télévision à péage se termine par le blanchiment du principal accusé, NDS.
Le SP3 a des ratés... bis !
Les problèmes du Service Pack 3 dédié à Windows XP n'a pas fini de pertuber les utilisateurs. Aujourd'hui, la fermeture intempestive de certains ordinateurs.
L'Eee PC 900 moins cher avec XP que sous Linux
Originalité marketing. L'ultra PC d'ASUS, l'Eee PC 900, sera vendu moins cher avec Windows XP qu'avec Linux.
Sur le même thème : Réseau - Sécurité
Vulnérabilité critique dans MessengerFX
Un client très populaire pour Windows Live Messenger, MessengerFX, laisse la possibilité à un pirate d'accéder à la liste des contacts d'un utilisateur légitime.
Le SP3 a des ratés... bis !
Les problèmes du Service Pack 3 dédié à Windows XP n'a pas fini de pertuber les utilisateurs. Aujourd'hui, la fermeture intempestive de certains ordinateurs.
Piège MSN, suite
1, puis 2, maintenant 4 millions d'internautes sont passés par la page Internet d'un voleur de comptes MSN. Faites vous partis des victimes ?
Plus d'un million d'amateurs de MSN piégés en quelques jours
Un site propose de savoir qui vous a effacé de MSN et ICQ. Attention, piège terriblement efficace. Des plus d'un million de victimes recensées par zataz.com.
Réseau social pour hackers
Des hackers lancent un réseau social afin de mettre en relation les spécialistes de la sécurité informatique.
Encrypter facilement les disques durs
Gemalto et McAfee, Inc. lancent l’authentification forte à deux facteurs pour encrypter facilement les disques durs.
SonicWALL: protection sans concession
SonicWALL protège ses clients contre les dernières attaques de phishing ciblé qui visent les cadres dirigeants. L’approche de gestion unifiée des menaces par couches fournit une protection réseau sans concession.
Problème de sécurité pour Adobe Systems Incorporated
L'éditeur de logiciels ADOBE épinglé pour avoir mis en danger des clients à partir d'un de ses sites Internet.
Vos réactions ( 0 )
Réagissez à ce contenu
Réagir
Rechercher dans les Alertes
- Un disque dur WUSB de Touch360 joue aux poupé...
- Vulnérabilité critique dans MessengerFX
- Encore des problèmes avec les forfaits Ten By...
- Des circuits intégrés pour économiser de l'é...
- Moteur de recherche en langage naturel pour W...
- Les 10 dernières applications Adobe AIR testé...
- Le mod Gamecube de la frustration
- WoW : trailer de Wrath Of The Lich King
- Une souris très design par d-Vision
- Shrink O'Matic : Widget Adobe AIR pour retai...
- Vulnérabilité critique dans MessengerFX
- Des données bancaires se logaient sur le site...
- Boulette pour le Ministère de l'agriculture
- SOS Racisme sauvé des pirates
- G-Archiver attention danger !
- Vulnérabilité Customer Testimonials 3.x de os...
- Usermin 1.x et Webmin 1.x XSS
- Mise à jour WordPress 2.3.3
- Vulnérabilité IPSwitch WS_FTP Server 6.x
- Vulnérabilité ACDSee.
- Exclu : La Corée, l'autre dragon de la contr...
- Lille aux pirates, épisode II
- Présidentielle : web, boulettes et piratages
- Actualité e-juridique
- Houra.fr ouvert au phishing
- Problème de sécurité pour le site ALAPAGE.COM
- Prudence, phishing possible
- Loi et Internet
- Victime de fraude en ligne ? Comment agir !
- Entreprise, prudence
Derniers communiqués de presse
Network Products Guide DefensePro
Radware reçoit le prix de l’innovation produit 2008 du Network Products Guide DefensePro, lauréat dans la catégorie de la sécurité comportementale.
Universal signe chez Deezer
Deezer annonce la signature d'un accord portant sur 35 pays avec le géant Universal Music.
Yahoo! et McAfee collaborent pour sécuriser la navigation sur le web
La nouvelle fonction SearchScan de Yahoo! Search signale les sites dangereux avant de cliquer sur le lien.
Vie privée : l'industrie du film pirate le droit européen
La Quadrature du Net s'inquiète d'amendements dangereux pour la protection de la vie privée déposés par les rapporteurs de la commission Culture du Parlement Européen.
Stars-buzz.com
Le Top 5 des tops models les mieux payées au monde
La Brésilienne Gisele Bündchen reste au top. D’après le journal économique Forbes, la belle a touché 23 millions d’euros pour 2007. L’Allemande Heidi Klum est seconde et pourtant loin derriére avec 9 millions d’euros. Kate Moss (34 ans) a touché 5 millions d’euros. L’autre Brésilienne de ce top, Adriana Lima, a perçu 4,5 millions d’euros. Cinquiéme et derniére de [...]
Des Peoples dans vos oreilles, ce soir sur Contact
Vous aimez les peoples ? Vous aimez la bonne zic ? Vous aimez délirer ? Chaque jeudi soir, de 18 heures à 19h30, dans l’émission d’Happy et Fax (Radio Contact), retrouver les news fraiches de Stars-Buzz. Un avant goût, ci-dessous ! Happy et Fax en train de torturer votre aimable serviteur !
Oups ! cachez donc ce ?. que je ne saurai voir
La sublime Elsa Zylberstein nous a refait le coup de Sophie Marceau sur les marches du festival de Cannes. Un petit bout de tissu qui vole et le tour est joué pour les fans. Sacré bretelle !
Tokio Hotel sur votre peau
Le Groupe culte des adolescents, qui doit reprendre la route des concert, lance une ligne de vêtements “TRè’Choli”. Les quatre Allemands à la sauce Manga-Gothique ont signé un contrat avec a marque de vêtements JBC. Toute une collection (22.99 euros à 30 euros), fille et garçon, de tee-shirts et débardeurs Tokio Hotel baptisée “übercool”. Disponible [...]
