Vigil@nce : Horde, Cross Site Scripting
septembre 2008 par Vigil@nce
SYNTHÈSE
Un attaquant peut provoquer deux Cross Site Scripting dans les
produits Horde.
Gravité : 2/4
Conséquences : accès/droits client
Provenance : document
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Nombre de vulnérabilités dans ce bulletin : 2
Date création : 10/09/2008
Référence : VIGILANCE-VUL-8102
PRODUITS CONCERNÉS
– Unix - plateforme
DESCRIPTION
Les produits Horde, Horde Groupware et Horde Groupware Webmail
Edition partagent le même code source, et donc les mêmes
vulnérabilités de type Cross Site Scripting.
Les messages HTML ne sont pas correctement filtrés, ce qui permet
à un attaquant de mener un Cross Site Scripting. [grav:2/4 ;
CVE-2008-3824]
La bibliothèque MIME ne filtre pas correctement ses sorties, ce
qui permet à un attaquant de mener un Cross Site Scripting.
[grav:2/4 ; CVE-2008-3823]
CARACTÉRISTIQUES
Références : CVE-2008-3823, CVE-2008-3824, ocert-2008-012,
VIGILANCE-VUL-8102