Faille dans Prestashop 1.4.x
Une faille importante a été découverte dans Prestashop. Ce sont les versions 1.4.x qui sont concernées par le problème.
Faille include dans phpMyAdmin
Une faille critique dans phpMyAdmin a été publiée il y a quelques jours (le 23/07/2011/) . Il s’agit d’une faille include qui pourrait permettr eà un utilisateur malveillant de faire exécuter du code arbitraire sur le serveur cible.
Faille dans PHPCaptcha
PHPCaptcha (également connu sous le nom de Securimage) est une librairie PHP qui donne la possibilité d’inclure facilement un système de protection par Captcha sur son site. Une faille dans le processus de brouillage a été découverte par Phil Taylor de Sense of security. Cette faille pourrait permettre à un attaquant de bypasser facilement la [...]
Inclusion de fichier dans Free Arcade Script
Une faille include a été découverte par “Osirys” dans le script Free Arcade Script version 1.0. Cette faille se situe dans le fichier “play.php” qui ne filtre pas suffisamment les données qui lui sont transmises. L’exploitation de cette vulnérabilités pourrait permettre à un utilisateur malveillant de prendre le contrôle de la machine cible et de [...]
SQL injection dans un composant Joomla!
“Snakespc” a découvert l’existence d’une SQL Injection dans le composant “com_news” de Joomla! et Mambo. Le problème se situe au niveau de la variable ‘id’ qui n’est pas suffisamment filtrée avant d’être intégrée à la requête SQL. Cette faille pourrait mener à la compromission des données sur le serveur cible.
Plusieurs failles dans CMScout
Deux failles importantes ont été découvertes dans “CMScout” version 2.06 par “SirGod”. En effet, une faille de type inclusion locale a été découverte au niveau de la variable “bit” récupérez via la méthode GET et présente dans les fichiers “admin.php” et “index.php”. Cette première faille pourrait permettre à un utilisateur malveillant d’avoir accès à des [...]
Faille dans l’extension PHP mbstring
“Moriyoshi Koizum”a découvert une faille de type buffer overflow dans l’extension “mbstring” de PHP. Les versions <=5.2.6 sont touchées par ce problème de sécurité qui pourrait permettre à un utilisateur malveillant de faire exécuter des codes arbitraires sur une machine distante. Cette vulnérabilité est identifiée par le n°CVE-2008-5557, des patchs sont disponibles.
Module Joomla! com_hbssearch
Une sql injection a été découverte dans le module joomla! “com_hbssearch”. En effet, la variable “r_type” n’est pas suffisamment filtrèe avant d’être intégrée à la requête SQL ce qui pourrait permettre à un utilisateur malveillant de faire exécuter des requêtes SQL arbitraires. “Kosova Hackers Group” est crédité pour cette découverte.
Module Joomla! tophotelmodule
Le module du CMS Joomla! “tophotelmodule” est faillible à une SQL injection située au niveau de la variable “id” qui n’est pas suffisamment filtrèe avant d’être intégrée à la requête SQL. Cette faille pourrait permettre à un utilisateur malveillant de faire exécuter des requêtes arbitraires sur le serveur hôte. Cette vulnérabilité a été découverte par [...]
XSS dans PHPg 1.6
Plusieurs failles de types XSS non permanent ont été découvertes dans PHPg 1.6 par “Anarchy Angel”. En effet, le script PHP ne filtre par suffisamment la variable “file” récupérée via la méthode GET, avant d’en afficher le contenu. Cette faille pourrait permettre de détourner l’utilisation d’un site en couplant cette faille à du social engineering [...]
keep looking »