|
From: | Vaisonet |
Subject: | [Dolibarr-dev] Faille mineure Dolibarr |
Date: | Tue, 18 Sep 2012 15:11:53 +0200 |
User-agent: | Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20120907 Thunderbird/15.0.1 |
Bonjour,Il me semble avoir trouvé une faille de sécurité dans Dolibarr 3.1 (injection SQL). Je la qualifierai de mineure, car pour l'exploiter il faut des droits qu'un utilisateur web n'aura pas (normalement). Mais bon, on pourrait manipuler les résultats d'un select car une variable utilisateur n'est pas filtrée. Un simple (int) corrige le problème.
Je n'ai pas vérifiée si elle existait en 3.2. Je publie l'information ici ? En privé à un commiter ? Cordialement, Maxime Varinard
[Prev in Thread] | Current Thread | [Next in Thread] |