S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 15 septembre 2008
N° CERTA-2008-AVI-460
Affaire suivie par: CERT-FR
le 15 septembre 2008

Avis du CERT-FR

Objet: Vulnérabilités dans DotNetNuke

Gestion du document

Référence CERTA-2008-AVI-460
Titre Vulnérabilités dans DotNetNuke
Date de la première version 15 septembre 2008
Date de la dernière version 15 septembre 2008
Source(s) Bulletins de sécurité DotNetNuke 21, 22, 23
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité ;
  • atteinte à la confidentialité des données ;
  • élévation de privilèges.

Systèmes affectés

DotNetNuke versions antérieures à 4.9.0.

Résumé

De multiples vulnérabilités dans DotNetNuke permettent à une personne distante malintentionnée de porter atteinte à la confidentialité des données, d'élever ses privilièges et/ou de contourner la politique de sécurité.

Description

Trois vulnérabilités ont été corrigées dans DotNetNuke :

  • une erreur dans la validation de l'identité des utilisateurs permet à une personne d'élever ses privilèges ;
  • une erreur de validation dans le chargement de thèmes peut être exploitée pour contourner la politique de sécurité ;
  • dans certaines circonstances il est possible de visionner la version du logiciel utilisé.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 15 septembre 2008
    version initiale.