Risque
- Accès au contenu d'une boîte aux lettres électronique et utilisation frauduleuse de celle-ci
Systèmes affectés
Service d'accès au courrier électronique par le Web XWebMail de la société XandMail.
Résumé
Une vulnérabilité dans le service d'accès Web XWebMail de la société XandMail permet à un utilisateur mal intentionné d'accéder, sous certaines conditions, au compte d'un autre utilisateur, de lire et d'envoyer du courrier depuis ce compte.
Description
XWebMail est un service d'accès au courrier électronique via une interface Web.
Une vulnérabilité permet, dans certains cas, de trouver l'URL qui donne accès au compte d'un utilisateur, sans authentification préalable. Il est alors possible de lire le courrier de cet utilisateur et d'envoyer du courrier en son nom.
Solution
La société XandMail a affirmé au CERTA que tous les clients utilisant XWebMail étaient maintenant prévenus et que la vulnérabilité avait été corrigée, et le correctif livré de manière individuelle et personalisée.
Si vous offrez un service de messagerie par Web grâce au produit XWebMail et que vous n'avez pas été contacté par XandMail, envoyez un courrier électronique à l'adresse security@xandmail.com.
Remerciements
La vulnérabilité a été découverte par la société Apogée Communications (http://www.apogee-com.fr) durant un audit effectué auprès d'un de ses clients, qui utilisait XWebMail. Après avoir été alerté par Apogée, le CERTA a pu qualifier la vulnérabilité et contacter la société XandMail, dans le but d'élaborer une parade adéquate.