Risques

  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Kronolith H3 versions 2.1.3 et précédentes

Résumé

Horde regroupe des des applications web développées en PHP et orientées vers le travail collaboratif. Kronolith est le nom du gestionnaire d'agenda, IMP celui du serveur IMAP/webmail. La vulnérabilité permet à l'attaquant d'exécuter un code arbitraire à distance.

Description

Une erreur de conception de Kronolith permet à un utilisateur authentifié du webmail d'exécuter un code arbitraire à distance.

L'exécution de code se fait dans le contexte du serveur web.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention de la version 2.1.4 (cf. section Documentation).

Documentation