Nous avons plusieurs utilisateurs qui sont touchés par une faille de sécurité
dans un plugin. Elle permet à n'importe quel visiteur d'uploader des fichiers
sur le site sans aucune authentification. J'ai envoyé un message à spip- team@rezo.net pour les avertir.
Pour exploiter cette faille il faut accéder au répertoire "plugin" : est-ce
qu'il n'est pas possible de limiter l'accès à ce repertoire ? Comme dans
"ecrire" avoir une redirection vers la page de login si on est pas connecté à
l'admin du spip. Cela permetrait d'éviter les exploitations de failles de
sécurité sur un plugin. Quelqu'un à déjà travaillé sur ce point ?
Dans l'urgence j'ai posé un .htaccess dans le répertoire du plugin mais j'ai
peur des effets secondaires.
Nous avons plusieurs utilisateurs qui sont touchés par une faille de sécurité
dans un plugin. Elle permet à n'importe quel visiteur d'uploader des fichiers
sur le site sans aucune authentification. J'ai envoyé un message à spip-
team@rezo.net pour les avertir.
Pour exploiter cette faille il faut accéder au répertoire "plugin" : est-ce
qu'il n'est pas possible de limiter l'accès à ce repertoire ? Comme dans
"ecrire" avoir une redirection vers la page de login si on est pas connecté à
l'admin du spip. Cela permetrait d'éviter les exploitations de failles de
sécurité sur un plugin. Quelqu'un à déjà travaillé sur ce point ?
Dans l'urgence j'ai posé un .htaccess dans le répertoire du plugin mais j'ai
peur des effets secondaires.
Ça risque interdire l'accès aux images et CSS utilisées côté public...