rgod a trouvé une vulnérabilité dans Xoops, qui permettrait à un attaquant d'avoir accès à des informations sensibles.

Les données passées au paramètre "xoopsConfig[language]" dans "class/xoopseditor/textarea/editor_registry.php" ne sont pas correctement vérifiées avant d'être utilisées pour inclure des fichiers. Ceci peut par exemple être exploité pour inclure des fichiers arbitraires depuis des ressources locales.

Pour une exploitation réussie "register_globals" doit être activé et "magic_quotes_gpc" désactivé.

Cette vulnérabilité a été confirmée dans la version 2.2.3. D'autres versions peuvent être affectées.

Solution:
Aucun correctif.

Editez les sources de façon à ce que les données soient correctement filtrées.

Mettre "register_globals" à "Off"