Risque
- Exécution de code arbitraire à distance ;
- injection SQL ;
- injection de code indirecte.
Systèmes affectés
- SPIP versions 2.0.1 et antérieures ;
- SPIP versions 1.9.2f et antérieures ;
- SPIP versions 1.8.3 et antérieures.
Résumé
Plusieurs vulnérabilités dans SPIP permettent d'exécuter du code arbitraire à distance, de réaliser des injections SQL et des attaques en cross-site scripting.
Description
Plusieurs vulnérabilités ont été corrigées dans SPIP. Leur exploitation permet d'exécuter du code arbitraire à distance, de réaliser des injections SQL et des attaques de type cross-site scripting.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Annonce de la version 2.02 de SPIP du 23 décembre 2008 :
http://zine.spip.org/spip.php?article65
- Référence CVE CVE-2008-5812 :
https://www.cve.org/CVERecord?id=CVE-2008-5812
- Référence CVE CVE-2008-5813 :
https://www.cve.org/CVERecord?id=CVE-2008-5813