Vigil@nce : SquirrelMail, multiples vulnérabilités
juillet 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités de SquirrelMail permettent à un attaquant
d’accéder au compte de l’utilisateur ou de mener un Cross Site
Scripting.
– Gravité : 2/4
– Date création : 13/07/2011
PRODUITS CONCERNÉS
– Fedora
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Le programme SquirrelMail permet aux utilisateurs de consulter
leur messagerie par le biais d’une interface web. Plusieurs
vulnérabilités ont été annoncées.
Un attaquant peut envoyer un email avec une pièce jointe contenant
du code JavaScript, qui n’est pas correctement filtré dans
squirrelmail/functions/mime.php, et provoque un Cross Site
Scripting. [grav:2/4 ; CVE-2011-2023]
Un attaquant peut provoquer plusieurs Cross Site Scripting dans
functions/options.php, plugins/squirrelspell/modules/check_me.mod,
src/empty_trash.php, src/left_main.php et src/options_order.php.
[grav:2/4 ; CVE-2010-4555]
L’entête HTTP X-Frame-Options indique si un document peut être
inclus dans une FRAME/IFRAME HTML. Cependant, si le navigateur web
de l’utilisateur de SquirrelMail ne supporte pas cet entête (IE
6/7), un attaquant peut utiliser un cadre pour créer un
clickjacking (interaction avec la session de l’utilisateur).
[grav:2/4 ; CVE-2010-4554]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/SquirrelMail-multiples-vulnerabilites-10835