{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>La version 2.0.13.2 de Xoops, ainsi que celles  ant\u00e9rieures.</P>","content":"## Description\n\nXoops est un syst\u00e8me dynamique de gestion de contenu \u00e9crit en PHP, et\npouvant servir au d\u00e9veloppement de sites Internet. Une vuln\u00e9rabilit\u00e9\nconcernant la version 2.0.13.2 et celles ant\u00e9rieures peut permettre \u00e0 un\nutilisateur malveillant de contourner la politique de s\u00e9curit\u00e9. Plus\npr\u00e9cis\u00e9ment, Ces versions ne v\u00e9rifient pas correctement les valeurs\nattribu\u00e9es au param\u00e8tre xoopsConfig. Il est alors possible :\n\n1.  de r\u00e9cup\u00e9rer des fichiers locaux \u00e0 la machine o\u00f9 Xoops fonctionne en\n    envoyant une requ\u00eate particuli\u00e8re ;\n2.  d'injecter du code PHP dans certains fichiers journaux d'Apache ou\n    dans des images avatars (images associ\u00e9es aux noms d'utilisateurs).\n\nCes deux actions sont possibles si le serveur Xoops est configur\u00e9 avec\nl'option register_globals.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 du projet Xoops du 23 mai 2006 :","url":"http://www.frxoops.org/modules/news/article.php?storyid=1007"},{"title":"Site du projet Xoops :","url":"http://www.frxoops.org"}],"reference":"CERTA-2006-AVI-213","revisions":[{"description":"version initiale.","revision_date":"2006-05-23T00:00:00.000000"}],"risks":[{"description":"Contournement de la politique de s\u00e9curit\u00e9"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans Xoops. Des utilisateurs\nmalveillants distants peuvent l'utiliser pour acc\u00e9der \u00e0 des informations\nsur le syst\u00e8me o\u00f9 Xoops fonctionne, ou injecter dans certaines\nconditions du code PHP.\n","title":"Vuln\u00e9rabilit\u00e9 dans Xoops","vendor_advisories":[{"published_at":null,"title":"Correctif de s\u00e9curit\u00e9 du projet Xoops","url":null}]}