{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Toute version de SquirrelMail ant\u00e9rieures \u00e0 1.4.9a.</P>","content":"## Description\n\nCes vuln\u00e9rabilit\u00e9s sont caus\u00e9es par un manque de contr\u00f4le sur les\narguments retourn\u00e9s \u00e0 l'utilisateur et par une erreur dans le filtre\nHTML magicHTML. Les scripts PHP vuln\u00e9rables, webmail.php et compose.php,\nsont ex\u00e9cut\u00e9s depuis les menus draft, compose et mailto. Un utilisateur\ndistant peut exploiter ces vuln\u00e9rabilit\u00e9s afin d'injecter du code\narbitraire depuis le serveur (sain) et l'ex\u00e9cuter dans le contexte du\nnavigateur Internet de l'utilisateur connect\u00e9.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2006-6142","url":"https://www.cve.org/CVERecord?id=CVE-2006-6142"}],"links":[{"title":"Note de changement de version SourceForge 468482 :","url":"http://sourceforge.net/project/shownotes.php?release_id=468482"},{"title":"Bulletion de s\u00e9curit\u00e9 RedHat RHSA-2007:0022 du 31 janvier    2007 :","url":"http://rhn.redhat.com/errata/RHSA-2007-002.html"},{"title":"Bulletion de s\u00e9curit\u00e9 SuSE SUSE-SR:2007:004 du 16 mars 2007    :","url":"http://lists.suse.com/archive/suse-security-announce/2007-Mar/0005.html"},{"title":"Bulletion de s\u00e9curit\u00e9 Debian DSA-1241 du 25 d\u00e9cembre 2006 :","url":"http://www.debian..org/security/2006/dsa-1241"},{"title":"Bulletion de s\u00e9curit\u00e9 SuSE SUSE-SR:2006:029 du 19 d\u00e9cembre    2006 :","url":"http://lists.suse.com/archive/suse-security-announce/2006-Dec/0008.html"}],"reference":"CERTA-2006-AVI-526","revisions":[{"description":"version initiale.","revision_date":"2006-12-04T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences aux bullentins de s\u00e9curit\u00e9 RedHat, Debian et SuSE.","revision_date":"2007-02-02T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 SuSE.","revision_date":"2007-03-26T00:00:00.000000"}],"risks":[{"description":"Attaque de type cross site scripting"}],"summary":"Deux vuln\u00e9rabilit\u00e9s dans SquirrelMail permettent \u00e0 un utilisateur\ndistant de r\u00e9aliser une attaque de type Cross Site Scripting.\n","title":"Vuln\u00e9rabilit\u00e9s dans SquirrelMail","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 SquirrelMail du 02 d\u00e9cembre 2006","url":"http://squirrelmail.org/security/issue/2006-12-02"}]}