Risque

  • Contournement de la politique de sécurité (cross-site request forgery) ;
  • injection de code indirecte (cross-site scripting).

Systèmes affectés

SquirrelMail versions 1.40 à 1.4.9a.

Résumé

Plusieurs vulnérabilités affectant SquirrelMail permettent à un attaquant d'effectuer des attaques de type cross-site request forgery et des injections indirectes de code.

Description

Plusieurs vulnérabilités ont été identifées dans SquirrelMail dans les fichiers mime.php, compose.php et view_text.php. Celles-ci permettent à une personne malintentionnée d'effectuer des attaques de type cross-site request forgery et des injections indirectes de code.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation