SPIP is a publishing system for the Internet, which put importance on collaborative working, multilingual environments and ease of use. It is free software, distributed under the GNU/GPL licence.
It's possible to send HTTP/FTP requests using the valider_xml file.
Attackers can make it look like the server is sending the request, possibly bypassing access controls such as a firewall that would prevent the attacker from accessing the URLs directly.

Lire la suite


SPIP is a publishing system for the Internet, which put importance on collaborative working, multilingual environments and ease of use. It is free software, distributed under the GNU/GPL licence.

The SPIP template composer/compiler does not correctly handle SPIP "INCLUDE/INCLURE" Tags, allowing PHP code execution by an authenticated user.
This vulnerability can be exploited using the CSRF or the XSS vulnerability also found in this advisory.

Lire la suite



SPIP is a publishing system for the Internet, which put importance on collaborative working, multilingual environments and ease of use. It is free software, distributed under the GNU/GPL licence.
The vulnerable request to valider_xml (see: SPIP 3.1.2 Template Compiler/Composer PHP Code Execution - CVE-2016-7998) is vulnerable to Cross-Site Request Forgery, allowing the execution of the CVE-2016-7998 attack by tricking an administrator to open the malicious link.

Lire la suite


SPIP is a publishing system for the Internet, which put importance on collaborative working, multilingual environments and ease of use. It is free software, distributed under the GNU/GPL licence.
The var_url parameter of the valider_xml file is not correctly sanitized and can be used to trigger a reflected XSS vulnerability.

Lire la suite


MALICE, en appui du Ministère de la Défense.

Ce samedi 8 octobre 2016 se tiendra le premier Challenge du Ministère de la Défense, organisé avec le soutien de SYSDREAM.

Ce challenge constitue une véritable préparation opérationnelle pour le personnel du ministère et les réservistes de cyberdéfense. En effet, 150 personnes, dont les tous nouveaux réservistes, participeront à une série d’épreuves pour une compétition de type « Jeopardy » (où les challenges résolus rapportent plus ou moins de points).

Lire la suite



Notre équipe, composée de 4 consultants en sécurité informatique et d'une responsable de communication a eu la chance de pouvoir participer à la DEFCON 2016 cet été.
Voici le compte rendu de notre voyage à Las Vegas.

Mercredi

L'équipe de Sysdream s'est retrouvée pour un long voyage de quasiment 27h vers les États-Unis en partance de Paris.
10h de vol vers Dallas, 4h d'escale (merci American Airline) puis 2h vers Las Vegas !
Une fois arrivés, après un petit tour en taxi, début de #hallwaycon à la réception ! Clés en poche, première soirée!
Bienvenu à l'hôtel Paris!
...

Lire la suite