SquirrelMail versions 1.4.16 et ant\u00e9rieures.
","content":"## Description\n\nUne erreur est pr\u00e9sente dans SquirrelMail. Elle est due \u00e0 un manque de\ncontr\u00f4le du code HTML inclus dans certains courriels. Il est donc\npossible \u00e0 un utilisateur distant malintentionn\u00e9 de conduire une attaque\nde type injection de code indirecte par le biais d'un courriel construit\nde fa\u00e7on particuli\u00e8re ouvert par un utilisateur du SquirrelMail\nvuln\u00e9rable.\n\nNB: l'option Show HTML Version by Default devra \u00eatre activ\u00e9e dans les\nparam\u00e8tres d'affichage pour que l'exploitation de cette vuln\u00e9rabilit\u00e9\nr\u00e9ussisse.\n\n## Solution\n\nLa version 1.4.17 de SquirrelMail corrige le probl\u00e8me :\n\n http://www.squirrelmail.org/download\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2008-2379","url":"https://www.cve.org/CVERecord?id=CVE-2008-2379"}],"links":[{"title":"Site de SquirrelMail :","url":"http://www.squirrelmail.org"},{"title":"Liste des changements apport\u00e9s \u00e0 la version 1.4.17 de SquirrelMail :","url":"http://sourceforge.net/project/shownotes.php?release_id=644750&group_id=311"}],"reference":"CERTA-2008-AVI-579","revisions":[{"description":"version initiale.","revision_date":"2008-12-04T00:00:00.000000"}],"risks":[{"description":"Injection de code indirecte"}],"summary":"Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans SquirrelMail permet \u00e0 un utilisateur\ndistant de conduire une attaque de type injection de code indirecte\n(Cross-site scripting).\n","title":"Vuln\u00e9rabilit\u00e9 dans SquirrelMail","vendor_advisories":[{"published_at":null,"title":"Liste des changements apport\u00e9s \u00e0 la version 1.4.17 de SquirrelMail","url":null}]}