S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 13 mai 2009
N° CERTA-2009-AVI-184
Affaire suivie par: CERT-FR
le 13 mai 2009

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Dokeos

Gestion du document

Référence CERTA-2009-AVI-184
Titre Multiples vulnérabilités dans Dokeos
Date de la première version 13 mai 2009
Date de la dernière version 13 mai 2009
Source(s) Message du 12 mai 2009 dans le wiki sécurité de Dokeos
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Atteinte à l'intégrité des données ;
  • atteinte à la confidentialité des données ;
  • injection de code SQL ;
  • injection de code indirecte.

Systèmes affectés

Dokeos versions 1.8.5 et antérieures.

Résumé

De multiples vulnérabilités dans Dokeos permettent de réaliser des injections de code SQL, des injections de code indirectes et de porter atteinte à la confidentialité des données.

Description

De multiples vulnérabilités ont été découvertes dans Dokeos. Celles-ci permettent de réaliser des injections de code SQL et des injections de code indirectes (cross-site scripting), ainsi que de porter atteinte à la confidentialité de certaines données (traversal directory).

Solution

Appliquer le correctif mis à disposition par l'éditeur (voir Documentation).

Documentation

Gestion détaillée du document

    le 13 mai 2009
    version initiale.