Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Webcalendar version 1.0.4 et antérieures.
Résumé
Une vulnérabilité de Webcalendar permet à un utilisateur malveillant d'exécuter du code arbitraire à distance sur le système vulnérable.
Description
Webcalendar est une application web de gestion d'agenda personnel ou collectif écrite en PHP.
Une erreur affecte le traitement des paramètres non spécifiés. Cette erreur permettrait à un utilisateur malveillant de modifier des variables globales et d'exécuter du code PHP arbitraire à distance.
Solution
La version 1.0.5 corrige le problème. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA-1267 du 15 mars 2007 : http://www.debian.com/security/2007/dsa-1267
- Note de la version 1.0.5 de Webcalendar : http://sourceforge.net/project/shownotes.php?release_id=491130
- Référence CVE CVE-2007-1343 https://www.cve.org/CVERecord?id=CVE-2007-1343