Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Plusieurs vulnérabilités de SquirrelMail permettent à un attaquant
d’accéder au compte de l’utilisateur ou de mener un Cross Site
Scripting.

– Gravité : 2/4
– Date création : 13/07/2011

PRODUITS CONCERNÉS

– Fedora
– Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

Le programme SquirrelMail permet aux utilisateurs de consulter
leur messagerie par le biais d’une interface web. Plusieurs
vulnérabilités ont été annoncées.

Un attaquant peut envoyer un email avec une pièce jointe contenant
du code JavaScript, qui n’est pas correctement filtré dans
squirrelmail/functions/mime.php, et provoque un Cross Site
Scripting. [grav:2/4 ; CVE-2011-2023]

Un attaquant peut provoquer plusieurs Cross Site Scripting dans
functions/options.php, plugins/squirrelspell/modules/check_me.mod,
src/empty_trash.php, src/left_main.php et src/options_order.php.
[grav:2/4 ; CVE-2010-4555]

L’entête HTTP X-Frame-Options indique si un document peut être
inclus dans une FRAME/IFRAME HTML. Cependant, si le navigateur web
de l’utilisateur de SquirrelMail ne supporte pas cet entête (IE
6/7), un attaquant peut utiliser un cadre pour créer un
clickjacking (interaction avec la session de l’utilisateur).
[grav:2/4 ; CVE-2010-4554]

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/SquirrelMail-multiples-vulnerabilites-10835