Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

ELM versions 2.5 PL5 à 2.5 PL7 (inclus).

Description

Une vulnérabilité de type débordement de pile dans la gestion des en-têtes SMTP de type Expires peut être utilisée par une personne distante mal intentionnée afin d'exécuter du code arbitraire par le biais d'un message électronique malicieusement construit.

Le code arbitraire s'exécute alors avec les droits de l'utilisateur destinataire du message électronique malicieux.

Solution

Mettre à jour le logiciel en installant la version 2.5 PL8 (cf. adresse du site de l'éditeur dans la partie Documentation).

Documentation