Fournée du jour

Par Franck, jeudi 12 janvier 2017. Lien permanent Dotclear

7h59 :

A File Upload issue was discovered in Dotclear through 2.11.2.
To exploit this vulnerability, someone must have a media-privilege account. In admin/media.php, the attacker can create a folder named “*.asp” or “*.asa”. In IIS 5.x/6.0, every file in the folder named “*.asp” or “*.asa” will be resolved as “asp”.

8h00 :

An XSS issue was discovered in Dotclear through 2.11.2.
To exploit this vulnerability, someone must have a account that can use an editor to edit content. Dotclear has the dcCKEditor and dcLegacyEditor editors by default. When using them to edit content, the attacker can inject any JavaScript code into the content in source mode,leading to stored XSS.

Je crois que c’est la fin des blogs :-D

Vivement demain !

4 réactions

Fil des commentaires de ce billet

1 De JcDenis - 12/01/2017, 18:08

\o/ C’est la fête
2 De Franck - 12/01/2017, 19:13

Oui hein ? Du coup j’ai remis le nez dans les CSS et le layout de la page d’édition des billets et des pages.

Z’avaient qu’à pas me chauffer aussi :-)
3 De Sylvain - 12/01/2017, 20:36

In IIS

Il est pas là le bug !? :D
4 De Franck - 12/01/2017, 23:56

Sylvain j’ai failli, mais ma réputation en aurait pris un coup :-)

Ajouter un commentaire

Commentaire privé pour l'auteur (ou le modérateur)

Les champs suivis d'un * sont obligatoires

Nom ou pseudo * :

Adresse email * :

Site web :

Commentaire * :

Les commentaires peuvent être formatés en utilisant la syntaxe Markdown Extra.

Ajouter un rétrolien

URL de rétrolien : https://open-time.net/trackback/13168