CERTA-2011-AVI-049
Vulnerability from certfr_avis - Published: 2011-02-03 - Updated: 2011-02-03
Une vulnérabilité dans le logiciel de gestion de bibliothèque PMB permet à un utilisateur malveillant de porter atteinte à la confidentialité et à l'intégrité des données.
Description
PMB est un logiciel de gestion des bibliothèques.
Une vulnérabilité de type injection SQL est présente dans plusieurs programmes de PMB. Elle permet à un utilisateur malveillant de lire des informations sans droit légitime.
Selon le compte système sous lequel s'exécute le serveur MySQL, l'attaquant peut lire tous les fichiers du système et exécuter n'importe quelle requête dans la base de données.
Cette vulnérabilité est activement exploitée.
Solution
Les versions 3.3.10 et 3.4.4 de PMB remédient à ce problème.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
PMB, versions 3.3 à 3.3.9 et 3.4 à 3.4.3.
Les autres versions ne sont pas maintenues et peuvent être vulnérables.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003ePMB, versions 3.3 \u00e0 3.3.9 et 3.4 \u00e0 3.4.3. \u003cP\u003eLes autres versions ne sont pas maintenues et peuvent \u00eatre vuln\u00e9rables.\u003c/P\u003e\u003c/p\u003e",
"content": "## Description\n\nPMB est un logiciel de gestion des biblioth\u00e8ques.\n\nUne vuln\u00e9rabilit\u00e9 de type injection SQL est pr\u00e9sente dans plusieurs\nprogrammes de PMB. Elle permet \u00e0 un utilisateur malveillant de lire des\ninformations sans droit l\u00e9gitime.\n\nSelon le compte syst\u00e8me sous lequel s\u0027ex\u00e9cute le serveur MySQL,\nl\u0027attaquant peut lire tous les fichiers du syst\u00e8me et ex\u00e9cuter n\u0027importe\nquelle requ\u00eate dans la base de donn\u00e9es.\n\nCette vuln\u00e9rabilit\u00e9 est activement exploit\u00e9e.\n\n## Solution\n\nLes versions 3.3.10 et 3.4.4 de PMB rem\u00e9dient \u00e0 ce probl\u00e8me.\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [],
"initial_release_date": "2011-02-03T00:00:00",
"last_revision_date": "2011-02-03T00:00:00",
"links": [],
"reference": "CERTA-2011-AVI-049",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2011-02-03T00:00:00.000000"
}
],
"risks": [
{
"description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 dans le logiciel de gestion de biblioth\u00e8que PMB permet\n\u00e0 un utilisateur malveillant de porter atteinte \u00e0 la confidentialit\u00e9 et\n\u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans PMB",
"vendor_advisories": [
{
"published_at": null,
"title": "Site de t\u00e9l\u00e9chargement de PMB",
"url": "http://www.pmbservices.fr/nouveau_site/telecharger_inter.html"
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.