Risque
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- Horde Application Framework versions 3.1.8 et antérieures ;
- Horde Application Framework versions 3.2.2 et antérieures.
- Horde Groupeware versions 1.0.6 et antérieures ;
- Horde Groupeware versions 1.1.2 et antérieures ;
- Horde Groupeware Webmail Edition versions 1.0.7 et antérieures ;
- Horde Groupeware Webmail Edition versions 1.1.2 et antérieures ;
Résumé
Plusieurs vulnérabilités sont présentes dans les produits Horde et permettent à un utilisateur distant malintentionné de réaliser des attaques de type « injection de code indirecte » (cross-site scripting).
Description
Deux vulnérabilités sont présentes dans plusieurs produits Horde comme Groupeware, Groupeware Webmail Edition et Application Framework. Ces vulnérabilités sont relatives à la mise en œuvre d'extensions MIME ou bien à la gestion de certains caractères d'échappement. Elles permettent à un utilisateur distant malintentionné de réaliser des attaques de type « injection de code indirecte » (cross-site scripting).
Contournement provisoire
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletins de sécurité Horde http://marc.info/?l=horde-announce&m=122103888111491&w=2
- Bulletin de sécurité de l'oCERT : http://www.ocert.org/advisories/ocert-2008-012.html
- Référence CVE CVE-2008-3823 https://www.cve.org/CVERecord?id=CVE-2008-3823
- Référence CVE CVE-2008-3824 https://www.cve.org/CVERecord?id=CVE-2008-3824
