mercredi 11 juillet 2007

Faille de sécurité DotClear 1.2.x et 2.0.x

Le blog officiel de Dotclear annonce une faille de sécurité dans son moteur de blog. Cela concerne les versions de la branche 1.2.x et de la branche 2.0.x.

Le principe est relativement simple et a été dévoilé par PsychoGun (alias JoeGuillian). Il s'agit de profiter des privilèges de l'utilisateur lorsqu'il est connecté en "administrateur" (il a alors le droit d'écrire sur le serveur) pour exécuter du code malveillant ou déposer des fichiers ouvrant une porte dérobée.

En attendant une correction complète, les développeurs de DotClear proposent une rustine de fortune et réitèrent quelques conseils.