S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 24 novembre 2010
N° CERTA-2010-AVI-564
Affaire suivie par: CERT-FR
le 24 novembre 2010

Avis du CERT-FR

Objet: Vulnérabilité dans les produits Horde

Gestion du document

Référence CERTA-2010-AVI-564
Titre Vulnérabilité dans les produits Horde
Date de la première version 24 novembre 2010
Date de la dernière version 24 novembre 2010
Source(s) Notes de version Horde 574, 575 et 576 du 23 novembre 2010
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Injection de code indirecte à distance.

Systèmes affectés

  • Horde Application Framework 3.3.10 et antérieures ;
  • Horde Groupware 1.2.8 et antérieures ;
  • Horde Groupware Webmail Edition 1.2.9 et antérieures.

Résumé

Une vulnérabilité de type XSS (injection de code indirecte à distance) a été découverte dans les logiciels Horde.

Description

Une vulnérabilité de type XSS peut être exploitée dans les produits Horde lors de l'affichage d'une vCard spécialement conçue. Elle permet à un utilisateur malintentionné d'exécuter du code arbitraire dans le navigateur Web du client (HTML, JavaScript ...).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 24 novembre 2010
    version initiale.