Avis de sécurité ZHFR-1358
| Date de publication: | 29/05/2006 | |
Vulnérabilité: Erreur de validation des entrées
Impact: Accès au système
D'où: A distance
Risque: 
Moyen
Solution: Aucun correctif
SE: Général
Produit: V-webmail
Versions affectées: 1.xDétails:
Une vulnérabilité a été découverte dans V-webmail, celle-ci pourrait être exploitée par des personnes malicieuses afin de compromettre un système vulnérable.
Les entrées passées au paramètre "CONFIG[pear_dir]" dans "includes/mailaccess/pop3.php" ne sont pas correctement vérifiées avant d'être utilisées pour inclure des fichiers. Cela pourrait être exploité afin d'inclure des fichiers arbitraires de ressources locales et distantes.
Pour que la vulnérabilité soit exploitable, "register_globals" doit être activé et le répertoire "includes" doit être placé dans la racine web (les instructions d'installation recommandent de placer le répertoire "includes" en dehors de la racine web si possible).
Remarque: dans la version 1.3, le script affecté est appelé "includes/mailaccess/pop3/core.php".
La vulnérabilité a été identifiée dans les versions 1.6.4, 1.3 et 1.5, d'autres versions devraient également être affectées.
Solution:
Aucun correctif.
Placer le répertoire "includes" en dehors de la racine web.
Références:
http://secunia.com/advisories/20297/
http://milw0rm.com/exploits/1827 Avis original
Crédits:
Vulnérabilité découverte par beford.
En parler sur le forum...
S'inscrire à la liste de diffusion...
