L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Dotclear

vulnérabilité informatique CVE-2018-16358

Dotclear : Cross Site Scripting via ahtml

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via ahtml de Dotclear, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Dotclear.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 03/09/2018.
Références : CVE-2018-16358, VIGILANCE-VUL-27135.

Description de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via ahtml de Dotclear, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2018-5690

Dotclear : Cross Site Scripting via admin/users.php

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via admin/users.php de Dotclear, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Dotclear.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 15/01/2018.
Références : CVE-2018-5690, VIGILANCE-VUL-25054.

Description de la vulnérabilité

Le produit Dotclear dispose d'un service web.

Cependant, les données reçues via admin/users.php ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via admin/users.php de Dotclear, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2018-5689

Dotclear : Cross Site Scripting via admin/auth.php

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via admin/auth.php de Dotclear, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Dotclear.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 15/01/2018.
Références : CVE-2018-5689, VIGILANCE-VUL-25053.

Description de la vulnérabilité

Le produit Dotclear dispose d'un service web.

Cependant, les données reçues via admin/auth.php ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via admin/auth.php de Dotclear, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2017-6446

Dotclear : Cross Site Scripting via admin/blogs.php

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via admin/blogs.php de Dotclear, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Dotclear.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 06/03/2017.
Références : CVE-2017-6446, VIGILANCE-VUL-22020.

Description de la vulnérabilité

Le produit Dotclear dispose d'un service web.

Cependant, les données reçues via admin/blogs.php ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via admin/blogs.php de Dotclear, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2016-9891

Dotclear : Cross Site Scripting via admin/media.php

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via admin/media.php de Dotclear, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Dotclear.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 30/12/2016.
Références : CVE-2016-9891, VIGILANCE-VUL-21485.

Description de la vulnérabilité

Le produit Dotclear dispose d'un service web.

Cependant, les données reçues via admin/media.php ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via admin/media.php de Dotclear, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2016-9268

Dotclear : upload de fichier via blog_theme.php

Synthèse de la vulnérabilité

Un attaquant privilégié peut uploader un fichier malveillant via blog_theme.php sur Dotclear, afin par exemple de déposer un Cheval de Troie.
Produits concernés : Dotclear.
Gravité : 1/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : compte privilégié.
Date création : 14/11/2016.
Références : CVE-2016-9268, VIGILANCE-VUL-21111.

Description de la vulnérabilité

Le produit Dotclear dispose d'un service web.

Un super-administrator peut uploader un fichier via blog_theme.php. Cependant, un fichier PHP peut être uploadé sur le serveur, puis exécuté.

Un attaquant privilégié peut donc uploader un fichier malveillant via blog_theme.php sur Dotclear, afin par exemple de déposer un Cheval de Troie.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2016-7902

Dotclear : upload de fichier via fileUnzip

Synthèse de la vulnérabilité

Un attaquant peut uploader un fichier malveillant via fileUnzip sur Dotclear, afin par exemple de déposer un Cheval de Troie.
Produits concernés : Dotclear.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : client internet.
Date création : 06/10/2016.
Références : CVE-2016-7902, VIGILANCE-VUL-20777.

Description de la vulnérabilité

Le produit Dotclear dispose d'un service web.

Il peut être utilisé pour uploader un fichier. Cependant, comme le type du fichier n'est pas restreint, un fichier PHP peut être uploadé sur le serveur, puis exécuté.

Un attaquant peut donc uploader un fichier malveillant via fileUnzip sur Dotclear, afin par exemple de déposer un Cheval de Troie.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2016-7903

Dotclear : usurpation de l'url de réinitialisation de mot de passe

Synthèse de la vulnérabilité

Un attaquant peut définir une url de réinitialisation de mot de passe malveillante pour Dotclear, afin d'obtenir un mot de passe saisi par la victime.
Produits concernés : Dotclear.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Date création : 05/10/2016.
Références : CVE-2016-7903, VIGILANCE-VUL-20776.

Description de la vulnérabilité

Le script admin/auth.php de Dotclear génère l'url permettant de réinitialiser le mot de passe.

Cependant, ce script utilise l'entête HTTP Host, qui peut être modifié sur un serveur hébergeant plusieurs sites.

Un attaquant peut donc définir une url de réinitialisation de mot de passe malveillante pour Dotclear, afin d'obtenir un mot de passe saisi par la victime.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique 20467

Dotclear : vulnérabilité via Blogroll Plugin

Synthèse de la vulnérabilité

Une vulnérabilité via Blogroll Plugin de Dotclear a été annoncée.
Produits concernés : Dotclear.
Gravité : 2/4.
Conséquences : conséquence inconnue, accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, transit de données, déni de service du serveur, déni de service du service, déni de service du client, camouflage.
Provenance : client internet.
Date création : 25/08/2016.
Références : VIGILANCE-VUL-20467.

Description de la vulnérabilité

Une vulnérabilité de Blogroll Plugin de Dotclear a été annoncée.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique 20466

Dotclear : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Dotclear.
Produits concernés : Dotclear.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, accès/droits client, lecture de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 25/08/2016.
Références : VIGILANCE-VUL-20466.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Dotclear.

Un attaquant peut traverser les répertoires via media.php, afin de lire un fichier situé hors de la racine. [grav:2/4]

Un attaquant peut uploader un fichier malveillant, afin par exemple de déposer un Cheval de Troie. [grav:3/4]

Un attaquant peut contourner les mesures de sécurité via RSS Feed, afin d'obtenir des informations sensibles. [grav:2/4]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Dotclear :