Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Les versions d'Evolution antérieures à 2.8.2.1 (comprise).

Description

Une vulnérabilité a été identifiée dans l'application bureautique Evolution, pouvant servir de client de messagerie, de carnet d'adresses ou de calendrier. Le fichier calendar/gui/e-cal-component-memo-preview.c met en œuvre une fonction nommée write_html() qui ne manipulerait pas correctement certaines chaînes de caractères.

Une personne malveillante pourrait ainsi, en incitant sa victime à ouvrir un « memo » spécialement conçu, exécuter du code arbitraire sur le système ayant une version vulnérable.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation