Service d'acc\u00e8s au courrier \u00e9lectronique par le Web XWebMail de la soci\u00e9t\u00e9 XandMail.
","content":"## Description\n\nXWebMail est un service d'acc\u00e8s au courrier \u00e9lectronique via une\ninterface Web.\n\nUne vuln\u00e9rabilit\u00e9 permet, dans certains cas, de trouver l'URL qui donne\nacc\u00e8s au compte d'un utilisateur, sans authentification pr\u00e9alable. Il\nest alors possible de lire le courrier de cet utilisateur et d'envoyer\ndu courrier en son nom.\n\n## Solution\n\nLa soci\u00e9t\u00e9 XandMail a affirm\u00e9 au CERTA que tous les clients utilisant\nXWebMail \u00e9taient maintenant pr\u00e9venus et que la vuln\u00e9rabilit\u00e9 avait \u00e9t\u00e9\ncorrig\u00e9e, et le correctif livr\u00e9 de mani\u00e8re individuelle et personalis\u00e9e.\n\nSi vous offrez un service de messagerie par Web gr\u00e2ce au produit\nXWebMail et que vous n'avez pas \u00e9t\u00e9 contact\u00e9 par XandMail, envoyez un\ncourrier \u00e9lectronique \u00e0 l'adresse security@xandmail.com.\n\n## Remerciements\n\nLa vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte par la soci\u00e9t\u00e9 Apog\u00e9e Communications\n(http://www.apogee-com.fr) durant un audit effectu\u00e9 aupr\u00e8s d'un de ses\nclients, qui utilisait XWebMail. Apr\u00e8s avoir \u00e9t\u00e9 alert\u00e9 par Apog\u00e9e, le\nCERTA a pu qualifier la vuln\u00e9rabilit\u00e9 et contacter la soci\u00e9t\u00e9 XandMail,\ndans le but d'\u00e9laborer une parade ad\u00e9quate.\n","cves":[],"links":[],"reference":"CERTA-2002-AVI-062","revisions":[{"description":"version initiale.","revision_date":"2002-03-26T00:00:00.000000"}],"risks":[{"description":"Acc\u00e8s au contenu d'une bo\u00eete aux lettres \u00e9lectronique et utilisation frauduleuse de celle-ci"}],"summary":"Une vuln\u00e9rabilit\u00e9 dans le service d'acc\u00e8s Web