CERTA-2008-AVI-460

Vulnerability from certfr_avis - Published: 2008-09-15 - Updated: 2008-09-15

De multiples vulnérabilités dans DotNetNuke permettent à une personne distante malintentionnée de porter atteinte à la confidentialité des données, d'élever ses privilièges et/ou de contourner la politique de sécurité.

Description

Trois vulnérabilités ont été corrigées dans DotNetNuke :

  • une erreur dans la validation de l'identité des utilisateurs permet à une personne d'élever ses privilèges ;
  • une erreur de validation dans le chargement de thèmes peut être exploitée pour contourner la politique de sécurité ;
  • dans certaines circonstances il est possible de visionner la version du logiciel utilisé.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

DotNetNuke versions antérieures à 4.9.0.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eDotNetNuke versions ant\u00e9rieures \u00e0 4.9.0.\u003c/P\u003e",
  "content": "## Description\n\nTrois vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 corrig\u00e9es dans DotNetNuke :\n\n-   une erreur dans la validation de l\u0027identit\u00e9 des utilisateurs permet\n    \u00e0 une personne d\u0027\u00e9lever ses privil\u00e8ges ;\n-   une erreur de validation dans le chargement de th\u00e8mes peut \u00eatre\n    exploit\u00e9e pour contourner la politique de s\u00e9curit\u00e9 ;\n-   dans certaines circonstances il est possible de visionner la version\n    du logiciel utilis\u00e9.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [],
  "initial_release_date": "2008-09-15T00:00:00",
  "last_revision_date": "2008-09-15T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 DotNetNuke #21 du 09 septembre 2008 :",
      "url": "http://www.dotnetnuke.com/News/SecurityPolicy/Securitybulletinno21/tabid/1174/Default.aspx"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 DotNetNuke #23 du 10 septembre 2008 :",
      "url": "http://www.dotnetnuke.com/News/SecurityPolicy/Securitybulletinno23/tabid/1176/Default.aspx"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 DotNetNuke #22 du 10 septembre 2008 :",
      "url": "http://www.dotnetnuke.com/News/SecurityPolicy/Securitybulletinno22/tabid/1175/Default.aspx"
    },
    {
      "title": "Site de t\u00e9l\u00e9chargement de DotNetNuke :",
      "url": "http://www.dotnetnuke.com"
    }
  ],
  "reference": "CERTA-2008-AVI-460",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2008-09-15T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    },
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    },
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    }
  ],
  "summary": "De multiples vuln\u00e9rabilit\u00e9s dans DotNetNuke permettent \u00e0 une personne\ndistante malintentionn\u00e9e de porter atteinte \u00e0 la confidentialit\u00e9 des\ndonn\u00e9es, d\u0027\u00e9lever ses privili\u00e8ges et/ou de contourner la politique de\ns\u00e9curit\u00e9.\n",
  "title": "Vuln\u00e9rabilit\u00e9s dans DotNetNuke",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletins de s\u00e9curit\u00e9 DotNetNuke 21, 22, 23",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.