Sécurité
Vulnérabilité PunBB Thumbnails Module
Publié le 18-12-2007 dans le thème Réseau - Sécurité
Pays : International - Auteur : Eric Romang
Pub : Participez à des batailles navales sanglantes et gagnez 10000 € sur Bigpoint.fr
Compromission de système et attaque du type cross-site scripting (XSS) par le biais du module Thumbnails de PunBB.
Peter Österberg a rapporté une vulnérabilité, classifiée comme "moyennement critique", pour le module Thumbnails de PunBB, qui pourrait être exploitée par un internaute malveillant pour effectuer des attaques du type cross-site scripting (XSS) et compromettre un système vulnérable.
Le script "uploadimg.php" ne valide pas correctement les extensions des fichiers téléchargés. Cette erreur pourrait être exploitée pour télécharger sur le serveur des fichiers avec des extenstions du type ".html" ou ".php" en envoyant dans les en-têtes HTTP un média MIME autorisé.
L'exploitation peut permettre des attaques du type cross-site scripting ou d'exécuter du code PHP arbitraire sur le serveur, mais requiert un nom d'utilisateur valide autorisé à télécharger des fichiers.
La vulnérabilité a été confirmée pour la version 1.3.3 et rapportée aussi pour la version 1.3.2. D'autres versions peuvent être affectées.
# Liens connexes
Alerte de sécurité Secunia (en anglais)
Derniers contenus
Microsoft Techdays
3ème édition des Microsoft Techdays, le rendez-vous des professionnels de l´informatique, développeurs et décideurs techniques.
IMAGE X5
KLIPSCH dévoile ses nouveaux écouteurs : IMAGE X5, l’audio à emporter.
DiVX basé sur le H.264
DivX annonce la nouvelle génération de son logiciel, DivX 7, basé sur le H.264 La nouvelle version permet de lire des vidéos HD, sur les PC et d’autres appareils.
Fin du piratage TV en Afrique nord
Le signal TPS a disparu des ondes marocaines le 30 décembre. La fin du piratage des chaînes à péages françaises ?
Phishing à l´encontre des clients de Free
Une nouvelle tentative d´hameçonnage lancée contre les clients du Fournisseur d´Accès Free. Même pas peur... Free piége les pirates.
Piratage de Twitter... même pas peur
Une trentaine de sites installés chez Twitter piratés. Parmi les victimes Barack Obama et Britney Spears.
Achat de faux diplômes
Vous avez acquis un faux diplôme universitaire. Nous recherchons des témoigniages pour le journal de 20 heures de France 2.
Dans la boule de cristale de Websense
Prévisions des actes de piratage informatique en 2009 par les laboratoires de sécurité Websense.
Sur le même thème : Réseau - Sécurité
Dans la boule de cristale de Websense
Prévisions des actes de piratage informatique en 2009 par les laboratoires de sécurité Websense.
Vulnérabilité dans Microsoft SQL Server
Une faille découverte dans Microsoft SQL Server. Un pirate peut executer du code arbitraire à partir de cette vunlnérabilité.
0day phpMyAdmin confirmé
Nous vous indiquions d´étranges visiteurs venus de Chine en pleine recherche d´accés dans phpMyAdmin. Un 0Day annoncé. Faille confirmée.
Sécurité à partir de l´adresse MAC
Cyberoam améliore la sécurité basée sur l´identité, grâce à une nouveauté mondiale qui lie l´utilisateur à la Mac adresse.
Arnaque: gagner de l´argent en envoyant des emails
Depuis quelques jours une site Internet propose de vous faire gagner beaucoup d´argent avec seulement quelques courriels. Un système pyramidale à la sauce française.
Une faille eBay colmatée en douceur
Un internaute découvre comment mettre la main sur les logins et mots de passe d'utilisateurs du site eBay.
Compromission système par le biais du WebMail RoundCube.
Exécution de commande arbitraire à distance par le biais du WebMail Roundcube.
Multiples vulnérabilités dans SPIP
Attaque du type injection SQL pour toutes les versions SPIP antérieures à la version 2.0.2
Vos réactions ( 0 )
Réagissez à ce contenu
Réagir
Rechercher dans les Alertes
- [Bilan] Une année de buzz vidéo | ChroGeek
- Facebook à l’assaut de Windows Live Messenger
- Itunes sans DRM
- Microsoft relance l'idée d'une "taxe ...
- Souris USB étanche
- Objectif grand angle pour iPhone
- Lenovo IdeaCentre A600
- Un singe webcam USB + porte crayon
- Prime, un concept de portable à 3 écrans
- Windows 7 plus performant que Windows XP ?
- [suggestion] Sur La Qualité Des Videos
- Faille Xss Sur Facebook
- Xss Dailymotion Kids
- Custom Firmware Psp 5.02gen-a
- Paris
- Bonne Anné 2009
- Pub Sur Zataz Fake Msn ?
- Tentative D'attaque Ciblée Sur Phpmyadmin, Un 0day ?
- Facebook Photouploader <= 5.0.14.0 Remote Buffer Overflow Exploit
- J Ai Trouver Une Faille Sur Le Site De Word Of Warcraft
- Me Voili , Me Voila, Bonjour A Tous
- Droits et devoirs sur Internet
- Droit et Justice en ligne - Septembre 2007
- Exclu : La Corée, l'autre dragon de la contr...
- Lille aux pirates, épisode II
- Présidentielle : web, boulettes et piratages
- Actualité e-juridique
- Houra.fr ouvert au phishing
- Problème de sécurité pour le site ALAPAGE.COM
- Prudence, phishing possible
- Loi et Internet
Derniers communiqués de presse
Microsoft Techdays
3ème édition des Microsoft Techdays, le rendez-vous des professionnels de l´informatique, développeurs et décideurs techniques.
IMAGE X5
KLIPSCH dévoile ses nouveaux écouteurs : IMAGE X5, l’audio à emporter.
DiVX basé sur le H.264
DivX annonce la nouvelle génération de son logiciel, DivX 7, basé sur le H.264 La nouvelle version permet de lire des vidéos HD, sur les PC et d’autres appareils.
Dans la boule de cristale de Websense
Prévisions des actes de piratage informatique en 2009 par les laboratoires de sécurité Websense.
Stars-buzz.com
Calendrier Aubade: janvier
La marque de lingerie féminine, Aubade, nous a encore une fois gratifié d?un sublime calendrier mettant en scène ses divers produits. Retrouvez la page du mois de Janvier. Une leçon de séduction en douze parties qui fait merveille dans le calendrier 2009 de la marque de lingerie Aubade. Ce dernier est téléchargeable ici. Nous vous proposons chaque [...]
Calendrier Aubade 2009
La marque de lingerie féminine, Aubade, nous a encore une fois gratifié d’un sublime calendrier mettant en scène ses divers produits. Retrouvez la page du mois en cours. Une leçon de séduction en douze parties qui fait merveille dans le calendrier 2009. Ce dernier est téléchargeable ici. Nous vous proposons chaque 1er du mois de retrouver la [...]
Stars-Buzz.com, deuxième
Bonjour, Stars-buzz.com n’est pas mort. Toujours là pour vous faire croustiller de news sur le cinéma, la musique, le cinéma. Le grand retour de vos actualités décalées comme vous les aimé à partir du 1er janvier 2009. Une légère boulette informatique a fait que nos serveurs ont fait pffittt… Certainement un coup de Bratt Pitt ! Dès le [...]
