S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 11 avril 2011
N° CERTA-2011-AVI-198
Affaire suivie par: CERT-FR
le 11 avril 2011

Avis du CERT-FR

Objet: Vulnérabilités dans RoundCube

Gestion du document

Référence CERTA-2011-AVI-198
Titre Vulnérabilités dans RoundCube
Date de la première version 11 avril 2011
Date de la dernière version 11 avril 2011
Source(s) Liste des modifications apportées à RoundCube 0.5.1
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité ;
  • injection de requêtes illégitime par rebond.

Systèmes affectés

Roundcube versions 0.5 et inférieures.

Résumé

Deux vulnérabilités ont été corrigées dans RoundCube. La première permet l'injection de requêtes illégitimes par rebond, et la seconde de contourner la politique de sécurité ce qui permet à un utilisateur malveillant d'utiliser RoundCube comme relai de messagerie.

Description

Une vulnérabilité permettant l'injection de requêtes illégitimes par rebond lors de la connexion a été corrigée dans RoundCube. Également, une vulnérabilité qui, lorsqu'elle est exploitée, permet à un utilisateur malveillant de contourner la politique de sécurité afin de passer des commandes illégitimes, a été corrigée.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 11 avril 2011
    version initiale.