Vulnérabilité de Webcalendar

Gestion du document

Référence	CERTA-2007-AVI-111-001
Titre	Vulnérabilité de Webcalendar
Date de la première version	06 mars 2007
Date de la dernière version	26 mars 2007
Source(s)	Note de version Webcalendar
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

Webcalendar version 1.0.4 et antérieures.

Résumé

Une vulnérabilité de Webcalendar permet à un utilisateur malveillant d'exécuter du code arbitraire à distance sur le système vulnérable.

Description

Webcalendar est une application web de gestion d'agenda personnel ou collectif écrite en PHP.

Une erreur affecte le traitement des paramètres non spécifiés. Cette erreur permettrait à un utilisateur malveillant de modifier des variables globales et d'exécuter du code PHP arbitraire à distance.

Solution

La version 1.0.5 corrige le problème. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Note de la version 1.0.5 de Webcalendar :

http://sourceforge.net/project/shownotes.php?release_id=491130

Bulletin de sécurité Debian DSA-1267 du 15 mars 2007 :
```
http://www.debian.com/security/2007/dsa-1267
```

Référence CVE CVE-2007-1343 :

https://www.cve.org/CVERecord?id=CVE-2007-1343

Gestion détaillée du document

le 06 mars 2007: version initiale.

le 26 mars 2007: ajout de la référence CVE et du bulletin de sécurité Debian.

Avis du CERT-FR

Objet: Vulnérabilité de Webcalendar