Risque

  • Atteinte à la confidentialité des données

Systèmes affectés

Tout système utilisant SquirrelMail en version antérieure à la 1.4.6.

Résumé

Un utilisateur distant mal intentionné peut accéder au contenu des fichiers du système hôte à l'aide d'une adresse réticulaire (« URL ») habilement construite.

Description

SquirrelMail est un service de messagerie (support IMAP et SMTP) accessible au travers d'une interface « Web ». Il est codé en utilisant le langage de script PHP.

Une mauvaise validation des entrées permet d'inclure des fichiers spécifiés par l'utilisateur. Cela induit donc un risque d'atteinte à la confidentialité des données.

Solution

Mettre à jour les sources en version 1.4.6 au moins. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation