Risque
- Contournement de la politique de sécurité (cross-site request forgery) ;
- injection de code indirecte (cross-site scripting).
Systèmes affectés
SquirrelMail versions 1.40 à 1.4.9a.
Résumé
Plusieurs vulnérabilités affectant SquirrelMail permettent à un attaquant d'effectuer des attaques de type cross-site request forgery et des injections indirectes de code.
Description
Plusieurs vulnérabilités ont été identifées dans SquirrelMail dans les fichiers mime.php, compose.php et view_text.php. Celles-ci permettent à une personne malintentionnée d'effectuer des attaques de type cross-site request forgery et des injections indirectes de code.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SquirrelMail du 09 mai 2007 :
http://www.squirrelmail.org/security/issue/2007-05-09
- Référence CVE CVE-2007-1262 :
https://www.cve.org/CVERecord?id=CVE-2007-1262