Avis du CERT-FR

Objet: Vulnérabilités dans WebCalendar

Gestion du document

Référence	CERTA-2012-AVI-230
Titre	Vulnérabilités dans WebCalendar
Date de la première version	24 avril 2012
Date de la dernière version	24 avril 2012
Source(s)	Révision CVS 1.168.2.1 du 28 février 2012
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

Versions antérieures à la 1.2.5.

Résumé

Deux vulnérabilités ont été corrigées dans WebCalendar. La première permet à un utilisateur non authentifié de réécrire le fichier « settings.php » avec des données arbitraires. La seconde est une « inclusion de fichier en local ». Toutes les deux peuvent mener à une « exécution de code arbitraire à distance ».

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Révision CVS 1.168.2.1 du 28 février 2012 :

http://webcalendar.cvs.sourceforge.net/viewvc/webcalendar/webcalendar/pref.php?revision=1.168.2.1&view=markup

Référence CVE CVE-2012-1495 :

https://www.cve.org/CVERecord?id=CVE-2012-1495

Référence CVE CVE-2012-1496 :

https://www.cve.org/CVERecord?id=CVE-2012-1496

Gestion détaillée du document

le 24 avril 2012: version initiale.