Avis du CERT-FR

Objet: Vulnérabilités dans Mambo

Référence	CERTA-2008-AVI-341
Titre	Vulnérabilités dans Mambo
Date de la première version	27 juin 2008
Date de la dernière version	27 juin 2008
Source(s)	Annonce sur le forum sécurité de Mambo du 26 juin 2008
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Exécution de code arbitraire à distance.

Mambo versions 4.6.4 et antérieures.

Deux vulnérabilités dans Mambo permettent l'exécution de code arbitraire à distance.

Deux vulnérabilités ont été découvertes dans Mambo :

une inclusion de fichier distant est possible par l'intermédiaire du fichier /includes/Cache/Lite/Output.php ;
une inclusion de fichier local est possible par l'intermédiaire du fichier /includes/core.classes.php.

L'exploitation de ces vulnérabilités permet l'exécution de code arbitraire à distance.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Annonce sur le forum sécurité de Mambo du 26 juin 2008 :

http://forum.mambo-foundation.org/showthread.php?t=12274

Page de téléchargement de la dernière version de Mambo :
```
http://mambo-code.org/gf/project/mambo/frs/
```