Risque
- Exécution de code arbitraire à distance ;
- contournement de la politique de sécurité ;
- atteinte à la confidentialité des données.
Systèmes affectés
SPIP versions 1.9.x et 2.0.x antérieures à 1.9.2h et 2.0.7.
Résumé
De multiples vulnérabilités dans SPIP permettent d'exécuter du code arbitraire à distance.
Description
De multiples vulnérabilités ont été découvertes dans SPIP. Il est notamment possible de donner plusieurs extensions à un fichier, ce qui peut provoquer l'exécution de code arbitraire à distance.
Solution
Mettre SPIP à jour en version 2.0.7 ou 1.9.2h.
Documentation
- Annonce de la version 2.0.7 de SPIP du 13 avril 2009 :
http://archives.rezo.net/spip-ann.mbox/200904.mbox/thread
- Téléchargement de SPIP :
http://files.spip.org/spip/archives/?C=M;O=D