Mise à jour de sécurité dans phpMyAddressbook

juillet 17th, 2011 | Posted by Cervoise in Français

Logiciel

Nom phpMyAddressbook
URL http://ploc.acampado.net/phpmyaddressbook/
Description phpMyAddressbook est un carnet d’adresses personnel en ligne utilisant PHP, FPDF et n’importe quel SGDB supportant PDO.

Vulnérabilités

Impact Cross-site scripting (XSS) (CWE-79)
Versions impactées 2.0, les versions plus anciennes sont surement impactées
Description

Plusieurs vulnérabilités ont été corrigées en version 2.1.

Des vulnérabilités de type Cross-site scripting (XSS) permettent à des attaquants d’injecter à distance du code arbitraire (HTML et script) en utilisant les champs contact lors de la création, modification ou encore via la fonction d’importation de contact par des fichiers CSV.

La fonction de recherche est vulnérable à un XSS non persistant.

Exploit Un code d’exploitation privé existe.
CVSS v2 base score 4.6 (AV:L/AC:L/Au:N/C:P/I:P/A:P)
Solution Migrer en version 2.1
CVE Aucun

Rappel

Il n’y a pas d’authentification par défaut sur phpMyAddressbook. Pour une utilisation plus sûre de cette application, il est recommandé d’utiliser une authentification HTTP. Par exemple sous Apache vous pouvez utiliser un fichier htaccess.

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Time limit is exhausted. Please reload the CAPTCHA.