Faille XSS corrigée / XSS Vulnerability Fixed
Bonjour à tous !
J’espère que vous passez de bonnes vacances 
Un forumeur m’a signalé s’être fait hacker son annuaire en m’indiquant la faille, j’ai donc corrigé la faille. 
Elle se situe au niveau des keywords (recherches enregistrées) et permet à une personne malintentionnée d’executer du code javascript sur votre machine. Ce genre de code récupère en général le contenu de vos cookies.
Les cookies Freeglobes ne contiennent que des données cryptées, donc la personne ne pourra pas deviner votre mot de passe admin par exemple. Cependant, elle peut recréer le même cookie sur sa machine et se connecter à votre place dans l’administration.
Je vous invite vivement à mettre à jour votre annuaire. (il suffit d’écraser tous les fichiers php du dossier /include et /members)
English :
This is a security release. An XSS vulnerability has been fixed. Everybody should upgrade to the latest version of the script as soon as possible.
You can also update by overwritting the following folders with the same folders contained in the downloadable archive :
/include
/members
juillet 26th, 2007 at 22:49
[…] Car le trou de sécurité a immédiatement reçu sa rustine et une nouvelle version de FreeGlobes plus secure vous attend sur le site officiel. […]
juillet 27th, 2007 at 23:52
[…] Une faille de sécurité a été découverte sur FreeGlobes : annuaire PHP/MySQL, celui-ci se situe au niveau des keywords (recherches enregistrées). […]