Vigil@nce - Exchange 2007 : Cross Site Request Forgery d’OWA
juillet 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut inviter la victime à consulter une page HTML
illicite, pendant qu’elle est authentifiée au webmail Exchange
OWA, afin d’accéder à son compte de messagerie.
Gravité : 2/4
Date création : 08/07/2010
DESCRIPTION DE LA VULNÉRABILITÉ
Lorsqu’un utilisateur est authentifié sur le webmail Exchange OWA,
il peut effectuer des opérations de configuration de son compte.
Les protections anti-CSRF (Cross Site Request Forgery) vérifient
que ces opérations de configuration proviennent effectivement de
l’utilisateur. Cependant, OWA ne fait pas ces vérifications.
Un attaquant peut donc inviter la victime à consulter une page
HTML illicite, pendant qu’elle est authentifiée au webmail
Exchange OWA, afin d’accéder à son compte de messagerie.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Exchange-2007-Cross-Site-Request-Forgery-d-OWA-9748