Risques

  • Contournement de la politique de sécurité
  • Cross-site scripting

Systèmes affectés

Les versions de SquirrelMail comprises entre la version 1.4.0 et la version 1.4.5-RC1 (incluse).

Description

Une vulnérabilité dans SquirrelMail (mauvais filtrage de la variable $_POST dans le fichier options_identities.php) permet à un utilisateur mal intentionné de modifier des préférences des utilisateurs, de réaliser des attaques de type cross-site scripting ou d'écrire dans des fichiers arbitraires sur le système vulnérable.

Solution

Mettre à jour SquirrelMail en version 1.4.5.

SquirrelMail peut se télécharger à l'adresse suivante :

http://www.squirrelmail.org/download.php

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation