Skip to end of metadata
Go to start of metadata

Les Technologies de l’information souhaitent informer les responsables informatiques qu’un avis de sécurité affectant le module d'extension PHP jQuery (jQuery File Upload) versions 9.22.1 et antérieures a été publié.

Cette faille permet à des systèmes malveillants de téléverser, sans authentification, un fichier vers un serveur vulnérable et d’y exploiter du code à distance.

Cette vulnérabilité de sécurité peut être exploitée sur : 

  1. un serveur web où est installée l’extension pour exécuter des scripts PHP dans le répertoire local du projet.
  2. un serveur qui n’est pas paramétré pour empêcher l’exécution des fichiers du répertoire de téléversement configuré par le module d’extension PHP jQuery (jQuery-File-Upload).
  3. un serveur web de type Apache (versions 2.3.9 et plus) pour utiliser l’option AllowOverride et la valeur de configuration « none ».
  4. un serveur qui ne supporte pas le contrôle d’accès à l’aide d’un fichier « .htaccess ».

Veuillez noter que cette vulnérabilité peut être corrigée avec la version 9.22.1 du module d’extension PHP jQuery (jQuery-File-Upload).

Si vous disposez d’un logiciel libre ou commercial qui utilise le module d’extension PHP jQuery (jQuery-File-Upload), veuillez vous référer à l’éditeur afin de vérifier la disponibilité des correctifs de sécurité ou des mises à jour pour votre système.

Les détails concernant cette faille sont disponibles aux liens suivants :

Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.

 

Identifiez-vous pour laisser un commentaire.

Vous n'avez pas trouvé de réponse à votre question dans nos FAQs ? Communiquez avec notre équipe via notre formulaire d'aide ou par téléphone au 514-343-7288.