Risque

  • Exécution de code arbitraire ;
  • atteinte à l'intégrité des données.

Systèmes affectés

  • SquirrelMail version 1.4.2 (vulnérabilité CVE CAN-2004-0519) ;
  • SquirrelMail version antérieures à 1.4.3 (vulnérabilité CVE CAN-2004-0520) ;
  • SquirrelMail version antérieures à 1.4.3 RC1 (vulnérabilité CVE CAN-2004-0521) ;
  • SquirrelMail version 1.2.10 et antérieures (vulnérabilité CVE CAN-2004-0639).

Résumé

Plusieurs vulnérabilités ont été découvertes dans différentes versions de SquirrelMail.

Description

SquirrelMail est une application de type Webmail écrite en PHP4. Plusieurs vulnérabilités ont été découvertes dans SquirrelMail :

  • Plusieurs vulnérabilités de type Cross Site Scripting permettent à un individu mal intentionné d'exécuter du code arbitraire à distance, de voler les informations d'authentification ou d'atteindre à l'intégrité des données (vulnérabilité CVE CAN-2004-0519 , CVE CAN-2004-0520 et CVE CAN-2004-0639) ;
  • une vulnérabilité de type injection SQL permet à un individu mal intentionné d'exécuter une requête SQL non sollicitée (vulnérabilité CVE CAN-2004-0521) ;

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation