S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 10 juin 2009
N° CERTA-2009-AVI-227
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans le webmail de Kerio MailServer

Gestion du document

Référence CERTA-2009-AVI-227
Titre Vulnérabilité dans le webmail de Kerio MailServer
Date de la première version10 juin 2009
Date de la dernière version10 juin 2009
Source(s) Bulletin de sécurité Kerio KSEC-2009-06-08-01 du 08 juin 2009

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Injection de code indirecte

Systèmes affectés

  • Kerio MailServer 6.6.2 et versions antérieures ;
  • Kerio MailServer 6.7.0.

Résumé

Une vulnérabilité de type injection de code indirecte (cross-site scripting) a été identifiée dans Kerio MailServer.

Description

Une vulnérabilité de type injection de code indirecte a été identifiée dans le webmail de Kerio MailServer. Elle peut être exploitée par une personne malintentionnée pour accéder aux données personnelles d'une victime en l'incitant à cliquer sur un lien spécialement conçu.

Solution

Le patch 3 de la version 6.6.2 et le patch 1 de la version 6.7.0 corrigent le problème.

Documentation

Gestion détaillée du document

    le 10 juin 2009
    version initiale.