Correctif Image Manager Xoops (Alerte sécurité)

Date 04/06/2008 | Sujet : XOOPS

Un bug dans le Gestionnaire d'images de Xoops a été découvert. Il a trait à la gestion des permissions et concerne potentiellement toutes les versions Xoops 2.0.x

Si vous accordez les droits d'administration à vos membres pour tout ou partie du Gestionnaire d'images, il dispose de facto des même privilèges que le webmestre, c'est à dire TOUS les droits.

Concrètement, un membre mal intentionné pourrait :
- effacer complètement le contenu de votre banque d'images
- créer de nouvelles catégories
- y placer le contenu qu'il souhaite, sans restriction d'aucune sorte (autres que celles fixées par votre hébergeur)

Ce bug de sécurité a été repéré par Dugris et immédiatement corrigé par ses soins.
Description du bug

1. Affectation des droits globaux d'administation


Les droits d'administration du Gestionnaire d'images de Xoops sont confiés à un Groupe, ici le Groupe des Utilisateurs enregistrés.


2. Vous distribuez les droits d'administration Catégorie par Catégorie...


Droits d'upload pour l'album photo 1...


... mais pas sur l'album photo 2


... exemple de distribution des droits.


3. Connexion en tant que membre


L'utilisateur s'identifie...


La distribution des droits n'est absolument pas respectée ! Pire, votre membre dispose de tous les droits y compris celui d'effacer les différentes catégories de votre Gestionnaire d'images :-o



Correction du bug

• Télécharger le correctif joint à cet article
• Téléverser le contenu du répertoire /htdocs à la racine de votre site en confirmant l'écrasement demandé



Le correctif consiste à remplacer le fichier main.php situé dans le répertoire : modules/sytem/admin/images/



Une fois le fichier original remplacé, vérifiez son action. Désormais le membre identifié dispose de droits restreints et conformes aux paramétrages :
• droit de charger des images dans la catégorie autorisée
• seul l'administrateur du site peut ajouter / mettre à jour / supprimer les catégories existantes



Note

Cette correction a été appliquée avec succès sur Xoops 2.0.18.1. Le fichier main.php étant rigoureusement identique dans les distributions précédentes de Xoops (au moins depuis Xoops 2.0.14), ce patch doit être efficient pour ces anciennes versions.



Cet article provient de Communauté Francophone des Utilisateurs de Xoops
https://www.frxoops.org

L'adresse de cet article est :
https://www.frxoops.org/modules/news/article.php?storyid=1497