Je sais pas si c'est un post sérieux..
https://dyrk.org/2019/05/19/spip-petite-0day-sur-un-plugin-utilise-par-un-millier-de-site/
Salut et merci pour le signalement,
Le 20/05/2019 à 15:52, dd a écrit :
Je sais pas si c'est un post sérieux..
{Spip} – Petite 0day sur un plugin utilisé par un millier de site ! | Dyrk
Oui c'est sérieux, je transfère l'info sur spip-team afin qu'on corrige le problème au plus vite.
++
b_b
Le 20/05/2019 à 15:52, dd a écrit :
Je sais pas si c'est un post sérieux..
{Spip} – Petite 0day sur un plugin utilisé par un millier de site ! | Dyrk
Merci.
Si c'est sérieux, la correction devrait pas tarder !
JLuc
pffff… il y en a qui ont rien à faire de leur vie ?
bref un xss/csrf sur un plugin, qui n’est exploitable que sur les sites de démo qui ont activé le menu de switch sur le public, et qui la plupart ne sont pas mis à jour…
Autant dire que même en corrigeant la faille dans le plugin ça servira pas à grand chose…
Mais bon 
--
Cédric
Le 20 mai 2019 à 16:06 +0200, Bruno Bergot <bruno@eliaz.fr>, a écrit :
Salut et merci pour le signalement,
Le 20/05/2019 à 15:52, dd a écrit :
> Je sais pas si c'est un post sérieux..
>
> {Spip} – Petite 0day sur un plugin utilisé par un millier de site ! | Dyrk
>Oui c'est sérieux, je transfère l'info sur spip-team afin qu'on corrige
le problème au plus vite.++
b_b
_______________________________________________
spip-team@rezo.net - https://listes.rezo.net/mailman/listinfo/spip-team
Hop,
Le 20/05/2019 à 16:55, Cerdic a écrit :
pffff… il y en a qui ont rien à faire de leur vie ?
bref un xss/csrf sur un plugin, qui n’est exploitable que sur les sites de démo qui ont activé le menu de switch sur le public, et qui la plupart ne sont pas mis à jour…Autant dire que même en corrigeant la faille dans le plugin ça servira pas à grand chose…
Mais bon
Une fois le plugin corrigé, je propose de lui répondre dans le forum de son article, pour le remercier et lui indiquer que la prochaine fois il serait plus sympa de nous prévenir sur cette liste, et de modérer son enthousiasme et son titre "accrocheur" en précisant que les 1000 et quelques sites référencés sur plugins.spip n'ont pas forcément activé l'option pour afficher le switcher dans les pages publiques (à moins que l'option soit active par défaut ?).
++
b_b
Le 20/05/2019 à 15:52, dd a écrit :
Je sais pas si c'est un post sérieux..
{Spip} – Petite 0day sur un plugin utilisé par un millier de site ! | Dyrk
Ça concerne les sites qui ont Zen Garden installé ET qui affichent le switcher de thème côté public.
Doit pas y'en avoir tant que ça
--
nicod_
Re,
Le 20/05/2019 à 18:00, Bruno Bergot a écrit :
Une fois le plugin corrigé, je propose de lui répondre dans le forum de son article, pour le remercier et lui indiquer que la prochaine fois il serait plus sympa de nous prévenir sur cette liste, et de modérer son enthousiasme et son titre "accrocheur" en précisant que les 1000 et quelques sites référencés sur plugins.spip n'ont pas forcément activé l'option pour afficher le switcher dans les pages publiques (à moins que l'option soit active par défaut ?).
Commentaire en attente de validation sur le blog en question...
++
b_b
Hop,
Le 20/05/2019 à 18:12, nicod_ a écrit :
Le 20/05/2019 à 15:52, dd a écrit :
Je sais pas si c'est un post sérieux..
{Spip} – Petite 0day sur un plugin utilisé par un millier de site ! | Dyrk
Voilà, c'est corrigé par le commit suivant et mis à jour sur demo.spip.net :
Merci à jluc et g0uz pour le patch.
Ça concerne les sites qui ont Zen Garden installé ET qui affichent le switcher de thème côté public.
Doit pas y'en avoir tant que ça
Oui, c'est exactement ce que je dis dans le commentaire en attente de validation sous l'article cité en référence
++
b_b
Le 20/05/2019 à 18:45, Bruno Bergot a écrit :
Hop,
Le 20/05/2019 à 18:12, nicod_ a écrit :
Le 20/05/2019 à 15:52, dd a écrit :
Je sais pas si c'est un post sérieux..
{Spip} – Petite 0day sur un plugin utilisé par un millier de site ! | Dyrk
Voilà, c'est corrigé par le commit suivant et mis à jour sur demo.spip.net :
Merci à jluc et g0uz pour le patch.
Ça concerne les sites qui ont Zen Garden installé ET qui affichent le switcher de thème côté public.
Doit pas y'en avoir tant que çaOui, c'est exactement ce que je dis dans le commentaire en attente de validation sous l'article cité en référence
++
b_b
----
spip-zone@rezo.net - https://listes.rezo.net/mailman/listinfo/spip-zone
Quelle rapidité dans le travail d'équipe !