Date de Publication : 2007-04-06 © FrSIRT.COM
Titre : WF-Links for Xoops "cid" Parameter Handling Remote SQL Query Injection Vulnerability
Identifiant : FrSIRT/AVIS-2007-1275
CVE ID : CVE-2007-2373
Risque : Modéré
Exploitable à distance : Oui
Exploitable en local : Oui

Description Technique

Une vulnérabilité a été identifiée dans WF-Links (module pour Xoops), elle pourrait être exploitée afin de conduire des attaques par injection SQL. Ce problème résulte d'une erreur présente au niveau du script "viewcat.php" qui ne valide pas le paramètre "cid", ce qui pourrait être exploité par des attaquants afin d'exécuter des requêtes SQL arbitraires.

Versions Vulnérables

WF-Links (module pour Xoops) versions 1.03 et inférieures

Solution

Aucun correctif officiel n'est disponible pour l'instant.

Références

http://www.frsirt.com/bulletins/9838

Crédit

Vulnérabilité découverte par ajann

ChangeLog

2007-04-06 : Version Initiale

theking83 a écrit:
Les corrections de sécurité le sont aussi ?

kjame a écrit:
Merci pour le lien Kris.

Nous avons une 1.3 et il me semble que l'upgrade vers le 1.3C ne fonctionne qu'à partir du 1.3B.

Penses tu que nous pouvons quand même essayer 1.3 -> 1.3C ?

Existe-t-il un autre module, plus sécurisé (et mis à jour) qui gérerait un upgrade à partir de WF Links ?

Marco a écrit:
Citation :

kjame a écrit:
Merci pour le lien Kris.

non, moi c'est marco

kjame a écrit:
@theking83 : quelle est ta version de WF Links ?

theking83 a écrit:
Citation :

kjame a écrit:
@theking83 : quelle est ta version de WF Links ?

WF Links 1.3b

Maintenant il me reste plus qu'à installer cette mise à jour WF Links 1.3c.
Et on verras bien.