Risque
- Atteinte à l'intégrité des données ;
- injection de requêtes illégitime par rebond.
Systèmes affectés
- Request Tracker 4.0.x
- Request Tracker 3.8.x
Résumé
Cinq vulnérabilités ont été corrigées dans Request Tracker. Elles permettent à un utilisateur malintentionné de mener des injections de requêtes illégitimes par rebond (CSRF) et d'écrire des fichiers arbitraires sur le disque de stockage.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité RT du 25 octobre 1012 :
http://lists.bestpractical.com/pipermail/rt-announce/2012-October/000212.html
- Référence CVE CVE-2012-4730 :
https://www.cve.org/CVERecord?id=CVE-2012-4730
- Référence CVE CVE-2012-4732 :
https://www.cve.org/CVERecord?id=CVE-2012-4732
- Référence CVE CVE-2012-4734 :
https://www.cve.org/CVERecord?id=CVE-2012-4734
- Référence CVE CVE-2012-4735 :
https://www.cve.org/CVERecord?id=CVE-2012-4735
- Référence CVE CVE-2012-4884 :
https://www.cve.org/CVERecord?id=CVE-2012-4884