Gravité : 2/4

Conséquences : accès/droits client

Provenance : document

Moyen d’attaque : 1 attaque

Compétence de l’attaquant : technicien (2/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 21/08/2009

PRODUITS CONCERNÉS

– Fedora
– Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

Le programme SquirrelMail permet aux utilisateurs de consulter
leur messagerie par le biais d’une interface web.

Les pages du site web SquirrelMail contiennent des formulaires
utilisés pour modifier les préférences, effacer des emails, ou
envoyer des emails. Cependant, ces formulaires ne vérifient pas
s’ils sont volontairement postés par un utilisateur authentifié.

Un attaquant peut créer un document HTML avec une image, dont
l’url contient tous les paramètres du formulaire. Lorsque la
victime, qui est authentifiée sur le site web SquirrelMail,
consulte cette page, l’image est chargée, et les actions du
formulaires sont exécutées.

Un attaquant peut ainsi faire exécuter des commandes sur
l’interface web de SquirrelMail, avec les privilèges de la victime
consultant un document HTML.

CARACTÉRISTIQUES

Références : FEDORA-2009-8797, FEDORA-2009-8822, VIGILANCE-VUL-8964

http://vigilance.fr/vulnerabilite/SquirrelMail-cross-site-request-forgery-8964