Risque

  • Injection de code indirecte

Systèmes affectés

SquirrelMail versions 1.4.16 et antérieures.

Résumé

Une vulnérabilité présente dans SquirrelMail permet à un utilisateur distant de conduire une attaque de type injection de code indirecte (Cross-site scripting).

Description

Une erreur est présente dans SquirrelMail. Elle est due à un manque de contrôle du code HTML inclus dans certains courriels. Il est donc possible à un utilisateur distant malintentionné de conduire une attaque de type injection de code indirecte par le biais d'un courriel construit de façon particulière ouvert par un utilisateur du SquirrelMail vulnérable.

NB: l'option Show HTML Version by Default devra être activée dans les paramètres d'affichage pour que l'exploitation de cette vulnérabilité réussisse.

Solution

La version 1.4.17 de SquirrelMail corrige le problème :

http://www.squirrelmail.org/download

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation