.: Schtunks Blog :. - Mot-clé - SécuritéLe blog de Schtunks : Ce que j'aime et ce qui m'interpelle !2023-08-27T14:38:32+02:00Philippe Pathéurn:md5:a5163ec4b4f9f67b1b1828eebc396d66DotclearFaille de sécurité DotClear 1.2.x et 2.0.xurn:md5:e20f18d7eab7e2c8d839d84d273d1ec12007-07-11T19:00:00+02:002007-07-12T22:38:50+02:00schtunksBlogBlogDotClear 2FailleSécurité <p>Le blog officiel de Dotclear <a hreflang="fr" href="http://www.dotclear.net/log/post/2007/07/10/Annonces-de-failles-de-securite">annonce une faille de sécurité</a> dans son moteur de blog. Cela concerne les versions de la branche 1.2.x et de la branche 2.0.x.</p>
<p>Le principe est relativement simple et a été dévoilé par <a hreflang="fr" href="http://ar3av.free.fr/faille-dotclear.php">PsychoGun</a> (alias JoeGuillian). Il s'agit de profiter des privilèges de l'utilisateur lorsqu'il est connecté en "administrateur" (il a alors le droit d'écrire sur le serveur) pour exécuter du code malveillant ou déposer des fichiers ouvrant <a hreflang="fr" href="http://fr.wikipedia.org/wiki/Backdoor">une porte dérobée</a>.</p>
<p>En attendant une correction complète, les développeurs de DotClear proposent <a hreflang="fr" href="http://www.dotclear.net/log/post/2007/07/10/Annonces-de-failles-de-securite">une rustine de fortune et réitèrent quelques conseils</a>.</p>