Faille pour SPIP

Publié le 30-04-2012 à 02:44:23 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

Pub : Tous les logiciels antispyware gratuits disponibles sur Internet

Note des lecteurs: 2.5/5

INFO ZATAZ - Une vulnérabilité de type Cross-Site Scripting vise le CMS SPIP. Découverte étonnante pour l'excellent CMS, outil de gestion de site web, SPIP. Une vulnérablité de type XSS directement dans l'espace de connexion à l'administration SPIP [HaideD 1466]. ZATAZ.COM a alerté les équipes de SPIP via le protocole d'alerte. Réponse rapide. Faille "confirmée sur les versions 2.1 et 3.0 de spip" confirme à ZATAZ.COM la SPIP Team. Nous vous déconseillons, en attendant la correction qui devrait être trés rapide, de cliquer sur le moindre lien exterieur vous proposant de joindre un page d'identification à l'administration SPIP. Pour rappel, cette faille permet d'afficher n'importe quel message dans l'espace numérique visé. Un pirate peut aussi d'injecter un logiciel dans la machine d'un visiteur, lancer un XSS backdoor ou intercepter le cookie de connexion. (fl)

Mise à jour : la SPIP team vient de nous préciser un complément d'information sur cette potentielle faille. cette dernière ne serait pas exploitable par un lien, comme il est de coutume avec un XSS. "Le formulaire ne réinjecte jamais de mot de passe dans la page HTML, quand bien même il serait fourni dans l'URL." indique la SPIP Team. "De ce fait la faille n'est pas exploitable autrement qu'en saisisant soi même le contenu qui provoque l'attaque sur soi. Ceci en limite la portée." Une release va être publiée très prochainement pour corriger cette "faillette". Pour rappel, un XSS peut servir à intercepter un éventuelle login, mot de passe, mais est surtout exploité, aujourd'hui sous forme de XSS Backdoor.