Risque
- Injection de code indirecte
Systèmes affectés
Les versions antérieures à :
- Horde Application Framework 3.3.6 ;
- Horde Groupware 1.2.5 ;
- Horde Groupware Webmail Edition 1.2.4.
Résumé
Une vulnérabilité permettant l'injection de code indirecte dans des produits Horde a été corrigée.
Description
Une vulnérabilité concernant les scripts d'administration de certains produits Horde et permettant à une personne malveillante distante de réaliser une injection de code indirecte au moyen d'une requête spécifiquement écrite à été corrigée.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Notes de changements des produits Horde du 15 décembre 2009 http://cvs.horde.org/diff.php/groupware/docs/webmail/CHANGES?r1=1.35.2.8&r2=1.32.2.9&ty=h
- Référence CVE CVE-2009-3701 https://www.cve.org/CVERecord?id=CVE-2009-3701
- Référence CVE CVE-2009-4363 https://www.cve.org/CVERecord?id=CVE-2009-4363