CERTA-2002-AVI-062

Vulnerability from certfr_avis - Published: - Updated:

Une vulnérabilité dans le service d'accès Web XWebMail de la société XandMail permet à un utilisateur mal intentionné d'accéder, sous certaines conditions, au compte d'un autre utilisateur, de lire et d'envoyer du courrier depuis ce compte.

Description

XWebMail est un service d'accès au courrier électronique via une interface Web.

Une vulnérabilité permet, dans certains cas, de trouver l'URL qui donne accès au compte d'un utilisateur, sans authentification préalable. Il est alors possible de lire le courrier de cet utilisateur et d'envoyer du courrier en son nom.

Solution

La société XandMail a affirmé au CERTA que tous les clients utilisant XWebMail étaient maintenant prévenus et que la vulnérabilité avait été corrigée, et le correctif livré de manière individuelle et personalisée.

Si vous offrez un service de messagerie par Web grâce au produit XWebMail et que vous n'avez pas été contacté par XandMail, envoyez un courrier électronique à l'adresse security@xandmail.com.

Remerciements

La vulnérabilité a été découverte par la société Apogée Communications (http://www.apogee-com.fr) durant un audit effectué auprès d'un de ses clients, qui utilisait XWebMail. Après avoir été alerté par Apogée, le CERTA a pu qualifier la vulnérabilité et contacter la société XandMail, dans le but d'élaborer une parade adéquate.

Service d'accès au courrier électronique par le Web XWebMail de la société XandMail.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eService d\u0027acc\u00e8s au courrier \u00e9lectronique par le Web  \u003cSPAN class=\"textit\"\u003eXWebMail\u003c/SPAN\u003e de la soci\u00e9t\u00e9 XandMail.\u003c/P\u003e",
  "content": "## Description\n\nXWebMail est un service d\u0027acc\u00e8s au courrier \u00e9lectronique via une\ninterface Web.\n\nUne vuln\u00e9rabilit\u00e9 permet, dans certains cas, de trouver l\u0027URL qui donne\nacc\u00e8s au compte d\u0027un utilisateur, sans authentification pr\u00e9alable. Il\nest alors possible de lire le courrier de cet utilisateur et d\u0027envoyer\ndu courrier en son nom.\n\n## Solution\n\nLa soci\u00e9t\u00e9 XandMail a affirm\u00e9 au CERTA que tous les clients utilisant\nXWebMail \u00e9taient maintenant pr\u00e9venus et que la vuln\u00e9rabilit\u00e9 avait \u00e9t\u00e9\ncorrig\u00e9e, et le correctif livr\u00e9 de mani\u00e8re individuelle et personalis\u00e9e.\n\nSi vous offrez un service de messagerie par Web gr\u00e2ce au produit\nXWebMail et que vous n\u0027avez pas \u00e9t\u00e9 contact\u00e9 par XandMail, envoyez un\ncourrier \u00e9lectronique \u00e0 l\u0027adresse security@xandmail.com.\n\n## Remerciements\n\nLa vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte par la soci\u00e9t\u00e9 Apog\u00e9e Communications\n(http://www.apogee-com.fr) durant un audit effectu\u00e9 aupr\u00e8s d\u0027un de ses\nclients, qui utilisait XWebMail. Apr\u00e8s avoir \u00e9t\u00e9 alert\u00e9 par Apog\u00e9e, le\nCERTA a pu qualifier la vuln\u00e9rabilit\u00e9 et contacter la soci\u00e9t\u00e9 XandMail,\ndans le but d\u0027\u00e9laborer une parade ad\u00e9quate.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2002-AVI-062",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-03-26T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Acc\u00e8s au contenu d\u0027une bo\u00eete aux lettres \u00e9lectronique et utilisation frauduleuse de celle-ci"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 dans le service d\u0027acc\u00e8s Web \u003cspan\nclass=\"textit\"\u003eXWebMail\u003c/span\u003e de la soci\u00e9t\u00e9 XandMail permet \u00e0 un\nutilisateur mal intentionn\u00e9 d\u0027acc\u00e9der, sous certaines conditions, au\ncompte d\u0027un autre utilisateur, de lire et d\u0027envoyer du courrier depuis\nce compte.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans le service d\u0027acc\u00e8s Web \u003cSPAN class=\"textit\"\u003eXWebMail\u003c/SPAN\u003e de la soci\u00e9t\u00e9 XandMail",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Soci\u00e9t\u00e9 de services \u00abApog\u00e9e Communications\u00bb",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.