CERTA-2008-AVI-460
Vulnerability from certfr_avis

De multiples vulnérabilités dans DotNetNuke permettent à une personne distante malintentionnée de porter atteinte à la confidentialité des données, d'élever ses privilièges et/ou de contourner la politique de sécurité.

Description

Trois vulnérabilités ont été corrigées dans DotNetNuke :

  • une erreur dans la validation de l'identité des utilisateurs permet à une personne d'élever ses privilèges ;
  • une erreur de validation dans le chargement de thèmes peut être exploitée pour contourner la politique de sécurité ;
  • dans certaines circonstances il est possible de visionner la version du logiciel utilisé.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

DotNetNuke versions antérieures à 4.9.0.

Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eDotNetNuke versions ant\u00e9rieures \u00e0 4.9.0.\u003c/P\u003e",
  "content": "## Description\n\nTrois vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 corrig\u00e9es dans DotNetNuke :\n\n-   une erreur dans la validation de l\u0027identit\u00e9 des utilisateurs permet\n    \u00e0 une personne d\u0027\u00e9lever ses privil\u00e8ges ;\n-   une erreur de validation dans le chargement de th\u00e8mes peut \u00eatre\n    exploit\u00e9e pour contourner la politique de s\u00e9curit\u00e9 ;\n-   dans certaines circonstances il est possible de visionner la version\n    du logiciel utilis\u00e9.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [],
  "initial_release_date": "2008-09-15T00:00:00",
  "last_revision_date": "2008-09-15T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 DotNetNuke #21 du 09 septembre 2008 :",
      "url": "http://www.dotnetnuke.com/News/SecurityPolicy/Securitybulletinno21/tabid/1174/Default.aspx"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 DotNetNuke #23 du 10 septembre 2008 :",
      "url": "http://www.dotnetnuke.com/News/SecurityPolicy/Securitybulletinno23/tabid/1176/Default.aspx"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 DotNetNuke #22 du 10 septembre 2008 :",
      "url": "http://www.dotnetnuke.com/News/SecurityPolicy/Securitybulletinno22/tabid/1175/Default.aspx"
    },
    {
      "title": "Site de t\u00e9l\u00e9chargement de DotNetNuke :",
      "url": "http://www.dotnetnuke.com"
    }
  ],
  "reference": "CERTA-2008-AVI-460",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2008-09-15T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    },
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    },
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    }
  ],
  "summary": "De multiples vuln\u00e9rabilit\u00e9s dans DotNetNuke permettent \u00e0 une personne\ndistante malintentionn\u00e9e de porter atteinte \u00e0 la confidentialit\u00e9 des\ndonn\u00e9es, d\u0027\u00e9lever ses privili\u00e8ges et/ou de contourner la politique de\ns\u00e9curit\u00e9.\n",
  "title": "Vuln\u00e9rabilit\u00e9s dans DotNetNuke",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletins de s\u00e9curit\u00e9 DotNetNuke 21, 22, 23",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.