Sécurité

 

Injection SQL et XSS pour Joomla JS Calendar

Publié le 09-10-2010 dans le thème Réseau - Sécurité

Pays : International - Auteur : Albert Einstein


Pub : Tous les antivirus gratuits pour protéger et nettoyer votre ordinateur


Note des lecteurs: 1.9/5

Drosophila a rapporté une première vulnérabilité, classifiée comme "moyennement critique", pour le composant Joomla JS Calendar, qui pourrait être exploitée par un internaute malveillant pour effectuer des attaques du type injection SQL.

Les entrées envoyées au paramètre "ev_id" du composant "com_jscalendar" ne sont pas traitées correctement avant d'être utilisées dans des requêtes SQL. Ces erreurs pourraient être exploitées pour injecter du code SQL arbitraire.

L'exploitation pourrait permettre, par exemple, de récupérer les hash des identifiants des utilisateurs et des administrateurs, mais requiert la connaissance du préfix des tables.

Une deuxième vulnérabilité, rapportée par Drosophila, classifiée comme "moyennement critique", pour le même composant Joomla, pourrait être exploitée par un internaute malveillant pour effectuer des attaques du type Cross Site Scripting.

La vulnérabilité est due au fait que les paramètres "month" et "year" ne sont pas vérifiés correctement. Cette erreur pourrait permettre d'injecter du code XSS.

La vulnérabilité a été confirmée pour la version 1.5.1. D'autres versions peuvent être affectées.

 

# Liens connexes

Alerte Exploit-DB

 

Conseiller cet article Réagir RSS ZATAZ Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur del.icio.us

Derniers contenus

Le top 5 des vulnérabilités informatiques les plus rencontrées

18-06-2013 à 12:22 - 0 commentaire(s)

Ce n'est pas une surprise, 2012 aura encore été riche en actualité concernant la cybercriminalité.

Labo virtuel pour auditer/mettre en place des contre-mesures

14-06-2013 à 01:12 - 0 commentaire(s)

Comment vérifier, avant la mise en production, qu'il n'existe pas de faille de sécurité ? Comment tester l'efficacité des protections mises en place ?

Claque pour le black market français

13-06-2013 à 15:12 - 0 commentaire(s)

Des pirates informatiques basés à Toulouse et Montpellier arrêtés après avoir fait du business de cartes bancaires dans le Black Market.

La NSA passe son temps à pirater la Chine

13-06-2013 à 15:07 - 0 commentaire(s)

Les Services Secrets Américains ont piraté des milliers de serveurs Chinois... depuis 15 ans.

La CIA hack un journal pro Al Qaeda... ou pas !

13-06-2013 à 14:55 - 0 commentaire(s)

Les services de renseignements de l'Oncle Sam expliquent avoir réussi le piratage du dernier Inspire, le journal pro Al Qaeda. ZATAZ.COM vous montre le contraire.

La CNIL donne son accord aux Mormons pour nous ficher

13-06-2013 à 14:39 - 0 commentaire(s)

Nous allons tous finir Mormon grâce à la CNIL. La Commission autorise la société FamilySearch International à extrader nos morts aux USA.

Prism Break : l'espion de la NSA que l'on peut contrecarrer

11-06-2013 à 14:43 - 1 commentaire(s)

Un ancien fonctionnaire de la CIA, officiant pour la NSA, révèle l'existence de PRISM, un espion numérique. Voici comment combattre cet espionnage.

Un site de paris en ligne joue à pile ou face avec ses clients

10-06-2013 à 20:08 - 0 commentaire(s)

Le site Internet de pari en ligne Bet first faillible aux actions malveillantes des pirates.

Sur le même thème : Réseau - Sécurité

Le top 5 des vulnérabilités informatiques les plus rencontrées

Ce n'est pas une surprise, 2012 aura encore été riche en actualité concernant la cybercriminalité.

Labo virtuel pour auditer/mettre en place des contre-mesures

Comment vérifier, avant la mise en production, qu'il n'existe pas de faille de sécurité ? Comment tester l'efficacité des protections mises en place ?

Claque pour le black market français

Des pirates informatiques basés à Toulouse et Montpellier arrêtés après avoir fait du business de cartes bancaires dans le Black Market.

Un site de paris en ligne joue à pile ou face avec ses clients

Le site Internet de pari en ligne Bet first faillible aux actions malveillantes des pirates.

La banque algérienne CPA piratée

Le Crédit Populaire d'Algérie visité par un pirate informatique.

Problème de sécurité pour le site de Renault

Un pirate informatique pourrait profiter d'un problème technique sur le site du constructeur automobile Renault.

Redirection malveillante... ils s'en foutent, pas nous

Google n'a toujours pas corrigé sa redirection malveillante, CNN non plus, prudence !

Multiple failles pour des sites de la Scientologie

Plusieurs failles, sur des sites de la Scientologie, mises à jour par des hacktivistes.

Vos réactions ( 0 )

Réagissez à ce contenu

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

Rechercher dans les Alertes

Mots clés
  sur ZATAZ sur le web

 




Hacknowledge Contest Europa-Africa La Nuit du Hack Hacking In Progress La reference des emissions TV dediees a la cybersecurite Data Security Breach - Securite pour entreprise, pme, pmi Hack Contest Abidjan


Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA