Bulletin d'alerte Debian
DLA-452-1 smarty3 -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 3 mai 2016
- Paquets concernés :
- smarty3
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 765920.
Dans le dictionnaire CVE du Mitre : CVE-2014-8350. - Plus de précisions :
-
Smarty3, un moteur de modèles pour PHP, permettait à des attaquants distants de contourner les restrictions du mode sécurité et d'exécuter du code PHP comme démontré par « {literal}<{/literal}script language=php> »" dans un modèle.
Pour Debian 7
Wheezy
, ces problèmes ont été corrigés dans la version 3.1.10-2+deb7u1.Nous vous recommandons de mettre à jour vos paquets smarty3.