Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

OpenX – Attention aux failles

Attention si vous diffusez de la bannière via OpenX, des chercheurs en sécurité viennent de découvrir plusieurs vulnérabilités assez moches. Celles-ci peuvent être utilisées par un attaquant pour faire tourner du code PHP (CVE-2013-3514), lancer des attaques XSS (CVE-2013-3515) et ainsi compromettre un système vulnérable.

Par exemple, il est possible via un simple GET HTTP de récupérer le contenu d’un fichier en local. Par exemple le fichier /etc/password.

Ou lancer un code PHP…

Et je vous passe la XSS qui permet de récupérer le cookie d’un admin.

OpenX a réglé le problème sur son dépôt SVN dans la révision de code 82710. Les fichiers concernés sont :

  • https://svn.openx.org/openx/trunk/www/admin/plugin-preferences.php
  • https://svn.openx.org/openx/trunk/www/admin/plugin-index.php
  • https://svn.openx.org/openx/trunk/www/admin/plugin-settings.php

Et un fichier diff est disponible ici.

Que faire après le bac quand on est passionné de cybersécurité ?

Entièrement dédiée à la cybersécurité, l’école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l’école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus

Partenaire


Les articles du moment