Risques

  • Atteinte à l'intégrité des données
  • Contournement de la politique de sécurité

Systèmes affectés

Mailman version 2.1.9rc1 et antérieures.

Résumé

De multiples vulnérabilités dans Mailman permettent à un utilisateur distant d'injecter du code dans une ou plusieurs pages du site vulnérable ainsi que de modifier les journaux d'événements.

Description

Deux vulnérabilités sont présentes dans Mailman :

  • La première vulnérabilité est de type Injection de code indirecte (Cross Site Scripting). Elle peut être exploitée par une personne mal intentionnée afin d'injecter du code dans une ou plusieurs pages du site vulnérable.
  • La seconde vulnérabilité concerne la fonction Utils.py. Elle permet à un utilisateur distant d'injecter des messages arbitraires dans les journaux d'événements.

Solution

La version 2.1.9 de Mailman corrige les vulnérabilités. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation