Vulnérabilités dans WebCalendar

Gestion du document

Référence	CERTA-2012-AVI-230
Titre	Vulnérabilités dans WebCalendar
Date de la première version	24 avril 2012
Date de la dernière version	24 avril 2012
Source(s)	Révision CVS 1.168.2.1 du 28 février 2012

Risque

Exécution de code arbitraire à distance

Systèmes affectés

Versions antérieures à la 1.2.5.

Résumé

Deux vulnérabilités ont été corrigées dans WebCalendar. La première permet à un utilisateur non authentifié de réécrire le fichier « settings.php » avec des données arbitraires. La seconde est une « inclusion de fichier en local ». Toutes les deux peuvent mener à une « exécution de code arbitraire à distance ».

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Révision CVS 1.168.2.1 du 28 février 2012

http://webcalendar.cvs.sourceforge.net/viewvc/webcalendar/webcalendar/pref.php?revision=1.168.2.1&view=markup

Référence CVE CVE-2012-1495

https://www.cve.org/CVERecord?id=CVE-2012-1495

Référence CVE CVE-2012-1496

https://www.cve.org/CVERecord?id=CVE-2012-1496

Avis du CERT-FR