Risques
- Contournement de la politique de sécurité ( cross-site request forgery )
- Injection de code indirecte ( cross-site scripting )
Systèmes affectés
SquirrelMail versions 1.40 à 1.4.9a.
Résumé
Plusieurs vulnérabilités affectant SquirrelMail permettent à un attaquant d'effectuer des attaques de type cross-site request forgery et des injections indirectes de code.
Description
Plusieurs vulnérabilités ont été identifées dans SquirrelMail dans les fichiers mime.php, compose.php et view_text.php. Celles-ci permettent à une personne malintentionnée d'effectuer des attaques de type cross-site request forgery et des injections indirectes de code.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SquirrelMail http://www.squirrelmail.org/security/issue/2007-05-09
- Référence CVE CVE-2007-1262 https://www.cve.org/CVERecord?id=CVE-2007-1262