Risque

Élévation de privilèges.

Systèmes affectés

  • Microsoft Exchange Server 2003 SP2 ;
  • Microsoft Exchange Server 2007 ;
  • Microsoft Exchange Server 2007 SP1.

Résumé

Deux vulnérabilités dans Open Web Access for Microsoft Exchange permettent à un utilisateur malveillant d'élever ses privilèges.

Description

Une première vulnérabilité, de type injection de code indirecte (cross site scripting), repose sur un défaut de validation des données entrées par l'utilisateur. Son exploitation permet à un utilisateur malveillant d'exécuter des commandes avec les droits d'un autre utilisateur.

Une deuxième vulnérabilité, également de type injection de code indirecte (cross site scripting), provient d'un défaut dans le traitement du langage HTML. Son exploitation permet à un utilisateur malveillant d'exécuter des commandes avec les droits d'un autre utilisateur.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation