OpenX - Attention aux failles

Image illustrant l'article : OpenX - Attention aux failles

OpenX - Attention aux failles

par Korben -

Attention si vous diffusez de la bannière via OpenX, des chercheurs en sécurité viennent de découvrir plusieurs vulnérabilités assez moches. Celles-ci peuvent être utilisées par un attaquant pour faire tourner du code PHP (CVE-2013-3514), lancer des attaques XSS (CVE-2013-3515) et ainsi compromettre un système vulnérable.

Par exemple, il est possible via un simple GET HTTP de récupérer le contenu d’un fichier en local. Par exemple le fichier /etc/password.

Logo de la plateforme publicitaire OpenX

Ou lancer un code PHP…

Capture d’écran du code vulnérable dans OpenX

Et je vous passe la XSS qui permet de récupérer le cookie d’un admin.

OpenX a réglé le problème sur son dépôt SVN dans la révision de code 82710. Les fichiers concernés sont :

Et un fichier diff est disponible ici.

Que faire après le bac quand on est passionné de cybersécurité ?

Contenu partenaire
Logo de l'école de Cybersécurité Guardia
Tracking Matomo Guardia

Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus