Vigil@nce : SquirrelMail, scan de port via Mail Fetch
juin 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant authentifié sur SquirrelMail peut utiliser le plugin
Mail Fetch, afin de scanner les ports de machines joignables
depuis le serveur.
– Gravité : 1/4
– Date création : 22/06/2010
DESCRIPTION DE LA VULNÉRABILITÉ
Le plugin Mail Fetch de SquirrelMail permet à l’utilisateur
d’ajouter des boîtes aux lettres distantes. L’utilisateur peut
préciser la machine et le numéro de port où un service POP3 est en
écoute.
Cependant, cette fonctionnalité permet à un attaquant de scanner
les ports TCP des machines joignables par le serveur SquirrelMail.
Un attaquant authentifié sur SquirrelMail peut donc utiliser le
plugin Mail Fetch, afin de scanner les ports de machines
joignables depuis le serveur.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/SquirrelMail-scan-de-port-via-Mail-Fetch-9722