S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 11 mars 2008
N° CERTA-2008-AVI-121
Affaire suivie par: CERT-FR
le 11 mars 2008

Avis du CERT-FR

Objet: Vulnérabilité dans Horde

Gestion du document

Référence CERTA-2008-AVI-121
Titre Vulnérabilité dans Horde
Date de la première version 11 mars 2008
Date de la dernière version 11 mars 2008
Source(s) Annonces Horde du 07 et 08 mars 2008
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • élévation de privilèges.

Systèmes affectés

  • Horde Application Framework versions 3.1.6 et antérieures ;
  • Horde Groupware versions 1.0.4 et antérieures ;
  • Horde Groupware Webmail Edition versions 1.0.5 et antérieures.

Résumé

Une vulnérabilité dans Horde permet à un utilisateur authentifié d'inclure un fichier à distance et de l'exécuter.

Description

Une vulnérabilité a été découverte dans le traitement du paramètre theme dans Horde. Un utilisateur authentifié mal intentionné peut, par le biais d'une requête POST spécifiquement construite, inclure un fichier à distance et le faire exécuter.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 11 mars 2008
    version initiale.