S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 16 mars 2007
N° CERTA-2007-AVI-131
Affaire suivie par: CERT-FR
le 16 mars 2007

Avis du CERT-FR

Objet: Vulnérabilité dans Horde IMP

Gestion du document

Référence CERTA-2007-AVI-131
Titre Vulnérabilité dans Horde IMP
Date de la première version 16 mars 2007
Date de la dernière version 16 mars 2007
Source(s) Mise à jour de Horde IMP 4.1.4
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code indirecte.

Systèmes affectés

Horde IMP versions antérieures à 4.1.4.

Résumé

Deux vulnérabilités dans Horde IMP permettent à une personne malintentionnée d'effectuer des attaques de type exécution indirecte de code (cross-site scripting).

Description

Deux vulnérabilités ont été identifiées dans Horde IMP. Celles-ci concernent les fichiers thread.php et search.php qui ne contrôlent pas correctement certains paramètres, ce qui permet à un attaquant d'effectuer une attaque de type exécution de code indirecte.

Solution

Ces vulnérabilités sont corrigées dans la version 4.1.4 de Horde IMP (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 16 mars 2007
    version initiale.