Aller au contenu
Invision Board France

[Faille] Codes Cross Site Scripting Vulnerability

rastaba

Par rastaba
dans Divers

 Partager

Messages recommandés

rastaba Habitué

rastaba

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Ce message est principalement destiné aux utilisateurs des versions antérieures à la 2.0

 

Pour info :

 

Invision Power Board SML Codes Cross Site Scripting Vulnerability

* Description Technique *

 

Une vulnérabilité a été identifiée dans Invision Power Board, elle pourrait être exploitée par un attaquant afin de réaliser des attaques par Cross Site Scripting. Le problème résulte d'une erreur présente au niveau de la gestion des signatures qui ne sont pas correctement filtrées, ce qui pourrait être exploité afin d'injection du code HTML coté client via une signature spécifique.

 

**********

 

* Versions Vulnérables *

 

Invision Power Board version 1.3.1 et inférieures

 

* Solution *

 

Aucune solution officielle pour l'instant

 

Source : K-Otik.com

 

Le problème n'a pas l'air de ce présenter sur une version 2.x.x.

Modifié par rastaba
Lien vers le commentaire
Partager sur d’autres sites
  • Administration
Erwin Apericube

Erwin

Posté(e)
  • Administration
Posté(e) (modifié)

Il y a pas eu un patch pour ça ?

IPB 1.3 and 2.0.x Security Update

Mise à jour de la sécurité - Invision Power Board, Version 1.3.x & Version 2.0.x

 

Edit : et puis chapeau, expliquer comment marche la faille alors qu'on sait qu'il n'y a pas de solution, c'est tellement mieux. C'est les pirates qui vont dire merci. (je parle de K-Otik)

Modifié par Erwin
Lien vers le commentaire
Partager sur d’autres sites
rastaba Habitué

rastaba

Posté(e)
  • Auteur
Posté(e)

D'ailleur, j'édite mon post...

Ils partent peu être du principe que s'il y'a une mise a jour du produit, la faille peu être dévoillée. Mais ce n'est pas très fin...

 

Je n'ai pas mis ce message pour que des personnes essayent, mais juste pour informer. :lol:

Lien vers le commentaire
Partager sur d’autres sites
  • Administration
Erwin Apericube

Erwin

Posté(e)
  • Administration
Posté(e) (modifié)

Je suis d'accord sur le fait qu'il ne faut pas masquer l'existence de failles. Autrement la sécurité n'aura plus grande importance pour les éditeurs. Mais publier l'exploit alors qu'il n'y a aucun patch, c'est plus nuisible qu'autre chose.

 

Sinon merci pour l'info, mais je pense que les patchs publiés par IPS corrigent la faille en question, attendons confirmation et surtout vérification... :lol:

Modifié par Erwin
Lien vers le commentaire
Partager sur d’autres sites
Equipe IBF Apericube

Equipe IBF

Posté(e)
Posté(e)

Ouin... je comprends maintenant pourquoi K-OTik a identifié la faille de niveau bas...

 

Sérieux, évaluer l'exemple... et vous jugerez qu'il n'a rien d'alarmant là dedans... En passant, est-ce seulement K-OTik via Daniel A qui propose cette faille pour IPB v1.3.1 et - ? ... Je crois que la dernière patch dans les liens soumis par Chris corrige cette faille... :'(

 

Mais bon, sinon... solution : Lire le post de Prozak :) Sinon, mise à jour vers la v2.0.x -- Encore là ... je parie une banane que la dernière patch d'IPS corrige cette pseudo-faille à la gomme !! :P

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement
×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

En utilisant ce site, vous êtes d’accords avec nos Conditions d’utilisation. Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookies, sinon nous supposerons que vous êtes d’accord pour continuer.