Risque

  • Contournement de la politique de sécurité ;
  • exécution de code arbitraire à distance ;
  • atteinte à la confidentialité des données ;
  • injection de code indirecte.

Systèmes affectés

SquirrelMail versions 1.4.17 et antérieures.

Résumé

Plusieurs vulnérabilités présentes dans SquirrelMail permettent à un utilisateur distant de contourner la politique de sécurité, de porter atteinte à la confidentialité de certaines données ou de procéder à des attaques de type injection de code indirecte.

Description

Plusieurs vulnérabilités sont présentes dans SquirrelMail :

  • un manque de contrôle dans les paramètres passés dans certaines URI de SquirrelMail permet à un utilisateur distant d'exécuter du code dans le contexte du navigateur d'un utilisateur consultant un SquirrelMail vulnérable ;
  • une erreur dans la gestion des sessions des utilisateurs permet à une personne malveillante d'usurper la session d'un autre utilisateur ;
  • un manque de contrôle lors de l'affichage de certains messages électroniques permet à un utilisateur distant de surcharger certains éléments de l'interface de SquirrelMail pour modifier son comportement.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation