Buffer overflow dans imlib2
Un buffer overflow a été identifié par Julien Danjou dans la librairie “imlib2″ v1.4.2 au niveau des traitements présents dans la fonction load(). Plusieurs patchs sont désormais disponibles permettant de corriger cette faille pouvant permettre à un utilisateur malveillant de faire exécuter du code arbitraire sur la machine cible. Cette faille porte le numéro CVE [...]
Venalsur Booking Centre: SQL injection
Une SQL injection a été découverte par “R3d-D3v!L” dans le script Venalsur Booking Centre v2.01. En effet, le paramètre “HotelID”(utilisé dans le fichier “hotel_habitaciones.php” ) n’est pas suffisamment filtré avant d’être intégré à la requête SQL. Cette vulnérabilité pourrait permettre à un utilisateur malveillant de faire exécuter des requêtes arbitraires sur le serveur cible. Aucun [...]
WireShark: multiples vulnérabilités
Plusieurs vulnérabilités ont été identifiées dans WireShark. En effet, les versions comprises entre 0.8.19 et 1.0.1 sont touchées par un déni de service. Thomas Nielsen de WireShark a également découvert un autre déni de service affectant les versions de 0.9.7 à 1.0.2. Plusieurs buffer Overflow ont également été découverts dans la version 1.0.2. Des patchs [...]
XSS et Upload de fichier dans ZEEPROPERTY 1.0
Deux failles ont été découverte par “ZoRLu” dans le script php ZEEPROPERTY dans sa version 1.0 . La premiére est une faille de type XSS non permanent au niveau du traitement de la variable “propid” du fichier “view_prop_details.php” qui n’est pas suffisamment filtrée avant d’être traitée. La deuxiéme faille permet l’upload de fichiers arbitraire via [...]
Enthusiast 3.1.4
Une faille permettant l’inclusion de script a été découverte dans le script Enthusiast version 3.1.4 (et antiérieure) par AmnPardaz Security Research Team. Cette vulnérabilité pourrait permettre à un utilisateur malveillant de faire exécuter du code arbitrire sur el serveur hôte. Aucun patch n’est disponible pour le moment.
Un géant du Spam en moins !
Mardi dernier, un important réseau de spammeurs a été découvert par un journaliste du “Washington Post”(2), passionné de sécurité informatique (1). Après une investigation poussée, Brian Kerbs découvre que la société “McColo” héberge des botnets qui diffusent une importante quantité de spam tout les jours. Les botnets qu’hébergés McColo sont bien connus des spécialistes en [...]
V3 Chat – Profiles/Dating Script v3.0.2
“d3b4g” a découvert une faille dans le script Profiles/Dating Script v3.0.2 de V3 Chat. Il s’agit d’une SQL injection présente au niveau de l”identification de l’administrateur. Il est alors possible pour un utilisateur malveillant de bipasser le processus d’identification. Aucun patch n’est disponible pour le moment.
Deltascripts PHP classifields <= 7.5
Une sql injection a été découverte dans le script Deltascripts PHP classifields <= 7.5 . Le problème se situe au niveau de la variable siteid qui n’est pas suffisamment assainie avant d’être intégrée à la requête SQL, ce qui pourrait permettre à un utilisateur malveillant de faire exécuter des requêtes arbitraires sur le serveur cible. [...]
Inclusion dans Recly Competitions
Une faille de type RFI (Remlote File Inclusion) a été découverte par “NoGe” dans le composant Joomla Recly Competitions. Cette vulnérabilité pourrait permettre à un utilisateur malveillant de faire exécuter du code arbitraire sur le serveur cible.
Mini Web Calendar 1.2
Deux faille ont été découverte par dans “Mini Web Calendar” version 1.2. En effet une vulnérabilité de type XSS non permanent a été découverte dans le fichier “cal_default.php”. Il y a également une faille de type inclusion de fichier local au niveau de la variable “thefile” du fichier “cal_pdf.php” qui n’est pas correctement filtrée avant [...]
keep looking »