Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Versions de LDAP Account Manager antérieures à la version 1.3.0.
Résumé
Une vulnérabilité de LDAP Account Manager permet à un utilisateur malveillant d'exécuter un code arbitraire à distance.
Description
LDAP Account Manager est une application PHP qui permet de gérer des comptes d'utilisateur Unix, Kolab, Samba, etc. dans un annuaire LDAP.
Un mauvais filtrage de certains caractères spéciaux HTML dans les données LDAP permet à un utilisateur malveillant de réaliser une insertion de code et l'exécution de ce code par le navigateur de l'utilisateur.
Solution
Installer la version 1.3.0.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de mise à jour du projet LDAP Account Manager du 28 mars 2007 : https://sourceforge.net/forum/forum.php?forum_id=680429