CERTA-2011-AVI-049
Vulnerability from certfr_avis
Une vulnérabilité dans le logiciel de gestion de bibliothèque PMB permet à un utilisateur malveillant de porter atteinte à la confidentialité et à l'intégrité des données.
Description
PMB est un logiciel de gestion des bibliothèques.
Une vulnérabilité de type injection SQL est présente dans plusieurs programmes de PMB. Elle permet à un utilisateur malveillant de lire des informations sans droit légitime.
Selon le compte système sous lequel s'exécute le serveur MySQL, l'attaquant peut lire tous les fichiers du système et exécuter n'importe quelle requête dans la base de données.
Cette vulnérabilité est activement exploitée.
Solution
Les versions 3.3.10 et 3.4.4 de PMB remédient à ce problème.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
PMB, versions 3.3 à 3.3.9 et 3.4 à 3.4.3.
Les autres versions ne sont pas maintenues et peuvent être vulnérables.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003ePMB, versions 3.3 \u00e0 3.3.9 et 3.4 \u00e0 3.4.3. \u003cP\u003eLes autres versions ne sont pas maintenues et peuvent \u00eatre vuln\u00e9rables.\u003c/P\u003e\u003c/p\u003e",
"content": "## Description\n\nPMB est un logiciel de gestion des biblioth\u00e8ques.\n\nUne vuln\u00e9rabilit\u00e9 de type injection SQL est pr\u00e9sente dans plusieurs\nprogrammes de PMB. Elle permet \u00e0 un utilisateur malveillant de lire des\ninformations sans droit l\u00e9gitime.\n\nSelon le compte syst\u00e8me sous lequel s\u0027ex\u00e9cute le serveur MySQL,\nl\u0027attaquant peut lire tous les fichiers du syst\u00e8me et ex\u00e9cuter n\u0027importe\nquelle requ\u00eate dans la base de donn\u00e9es.\n\nCette vuln\u00e9rabilit\u00e9 est activement exploit\u00e9e.\n\n## Solution\n\nLes versions 3.3.10 et 3.4.4 de PMB rem\u00e9dient \u00e0 ce probl\u00e8me.\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [],
"initial_release_date": "2011-02-03T00:00:00",
"last_revision_date": "2011-02-03T00:00:00",
"links": [],
"reference": "CERTA-2011-AVI-049",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2011-02-03T00:00:00.000000"
}
],
"risks": [
{
"description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 dans le logiciel de gestion de biblioth\u00e8que PMB permet\n\u00e0 un utilisateur malveillant de porter atteinte \u00e0 la confidentialit\u00e9 et\n\u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans PMB",
"vendor_advisories": [
{
"published_at": null,
"title": "Site de t\u00e9l\u00e9chargement de PMB",
"url": "http://www.pmbservices.fr/nouveau_site/telecharger_inter.html"
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.