Phpnuke touché par une vulnérabilité importante

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
22
mar.
2003
PHP
Phpnuke est un CMS, Content Manager System très largement utilisé sur Internet. Il serait utilisé par plus de 25.000 webmasters afin de construire leur site facilement en php et en utilisant la base de données MySQL. Une importante vulnérabilité vient d’être découverte dans un des scripts PHP composant Phpnuke, permettant de modifier n’importe quel article en ligne sur un site utilisant le système phpnuke. Une vulnérabilité de type « SQL injection » vient d’être découverte sur phpnuke. Cette faille résultant d’un manque de vérifications des variables soumise au script module.php (appartenant au système phpnuke) peut permettre à un pirate de modifier n’importe quel article en ligne sur un site utilisant phpnuke. Une porte grande ouverte aux hactivistes et guerriers de l’information. Les versions 5.6, 6.0, 6.5 RC1, 6.5 RC2, 6.5 RC3, 6.5 sont vulnérables. Un correctif ou une mise à jour devrait être disponible sous peu sur le site de l’éditeur Francisco Burzi http://www.phpnuke.org Sinon, un correctif temporaire est disponible sur le site http://www.phpsecure.org qui sont les auteurs de cette découverte.

Aller plus loin

  • # Re: Phpnuke touché par une vulnérabilité importante

    Posté par  . Évalué à 10.

    Il suffit d'être abonné à bugtrack pour se rendre compte de la fréquence à laquelle des bugs sérieux sont trouvés dans Phpnuke. Il y des " SQL injections " au minimum une fois par mois... Personnellement, celà m'a vite encouragé à passer à d'autres solutions. Certain ne sont pas content quand certaines news passent en première page, et là pour le coup je ne trouve pas que cette info (de seconde page) soit très pertinante non plus. Rien que ce mois-ci nous avons comme liste de bugs sérieux : - PHP-Nuke : config.php reveled with php uploaded file - PHP-Nuke 6.0 (& 6.5?) : Serious SQL Injection Security Holes - PHP-Nuke 6.0 & 6.5RC2 SQL Injection Again - PHP-Nuke 5.5 and 6.0: Path Disclosure Si on devait faire une news par faille découverte dans Phpnuke, on aurait que ça sur LinuxFr... Je ne suis pas contre... Mais dans ce cas, pourquoi n'en a-ton qu'une seule sur quatre ?

    • [^] # Re: Phpnuke touché par une vulnérabilité importante

      Posté par  (site web personnel) . Évalué à 8.

      Tout à fait. Je propose qu'on mette dans les préférences de l'utilisateur linuxfr deux options: - trous de sécurité PHP-Nuke - trolls Windows (je suis déja dehors)

    • [^] # Re: Phpnuke touché par une vulnérabilité importante

      Posté par  (site web personnel) . Évalué à 3.

      Tout à fait : à une époque, il y avait fréquemment des annonces des trous de sécurité de PHPNuke sur LinuxFr (faire une recherche pour trouver ça) et ça n'apporte rien. On arrive toujours à la même conclusion : PHPNuke est une grosse merde. Faut vraiment être débile pour utiliser ça sur un site public quand on voit la qualité du code produit. Avec une annonce de sécurité/mois, ce n'est plus du développement, c'est une incitation au hack.

    • [^] # Re: Phpnuke touché par une vulnérabilité importante

      Posté par  . Évalué à 3.

      Apparemment le développeur principal vous a entendus et veut ré-écrire le code "from scratch" (cf news sur le site officiel http://www.phpnuke.com ). Mais tout ça n'a pas l'air bien professionnel quand-même...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.