NVD Vulnerability Detail

CVE-2007-6018

Summary	IMP Webmail Client 4.1.5, Horde Application Framework 3.1.5, and Horde Groupware Webmail Edition 1.0.3 does not validate unspecified HTTP requests, which allows remote attackers to (1) delete arbitrary e-mail messages via a modified numeric ID or (2) "purge" deleted emails via a crafted email message.
Publication Date	Jan. 11, 2008, 11:46 a.m.
Registration Date	Jan. 29, 2021, 2:23 p.m.
Last Update	July 29, 2017, 10:33 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:horde:framework:3.1.5:::::::*
cpe:2.3:a:horde:groupware_webmail_edition:1.0.3:::::::*
cpe:2.3:a:horde:horde:3.1.5:::::::*
cpe:2.3:a:horde:imp:4.1.5:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://cvs.horde.org/diff.php/groupware/docs/groupware/CHANGES?r1=1.17&r2=1.17.2.1&ty=h	CONFIRM
2	http://cvs.horde.org/diff.php/groupware/docs/webmail/CHANGES?r1=1.12&r2=1.12.2.1&ty=h	CONFIRM
3	http://lists.horde.org/archives/announce/2008/000360.html	MLIST
4	http://lists.horde.org/archives/announce/2008/000365.html	MLIST
5	http://lists.horde.org/archives/announce/2008/000366.html	MLIST
6	http://lists.opensuse.org/opensuse-security-announce/2009-03/msg00004.html	SUSE
7	http://secunia.com/advisories/28020	SECUNIA	Vendor Advisory
8	http://secunia.com/advisories/28546	SECUNIA
9	http://secunia.com/advisories/29184	SECUNIA
10	http://secunia.com/advisories/29185	SECUNIA
11	http://secunia.com/advisories/29186	SECUNIA
12	http://secunia.com/advisories/34418	SECUNIA
13	http://secunia.com/secunia_research/2007-102/advisory/	MISC	Vendor Advisory
14	http://www.debian.org/security/2008/dsa-1470	DEBIAN
15	http://www.securityfocus.com/bid/27223	BID	Patch
16	https://bugzilla.redhat.com/show_bug.cgi?id=428625	CONFIRM
17	https://exchange.xforce.ibmcloud.com/vulnerabilities/39595	XF
18	https://www.redhat.com/archives/fedora-package-announce/2008-February/msg00888.html	FEDORA
19	https://www.redhat.com/archives/fedora-package-announce/2008-February/msg00927.html	FEDORA

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html

JVN Vulnerability Information

IMP Webmail Client などにおける任意の電子メールメッセージを削除される脆弱性

Title	IMP Webmail Client などにおける任意の電子メールメッセージを削除される脆弱性
Summary	IMP Webmail Client、Horde Application Framework および Horde Groupware Webmail Edition は、不特定の HTTP リクエストを適切に検証しないため、(1) 任意の電子メールメッセージを削除される (2) 削除された電子メールを "パージ" される脆弱性が存在します。
Possible impacts	第三者により、(1) 変更された数字の ID を介して、任意の電子メールメッセージを削除される、および (2) 巧妙に細工された電子メールメッセージを介して、削除された電子メールを "パージ" されるされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Jan. 10, 2008, midnight
Registration Date	Sept. 25, 2012, 4:59 p.m.
Last Update	Sept. 25, 2012, 4:59 p.m.

Affected System

Horde

Horde Application Framework 3.1.5

Horde Groupware Webmail Edition 1.0.3

Horde Internet Mail Program Webmail Client 4.1.5

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2007-6018	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6018
National Vulnerability Database (NVD)
2	CVE-2007-6018	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-6018

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
Horde
1	Horde Groupware Webmail Edition 1.0.4	http://lists.horde.org/archives/announce/2008/000366.html

Change Log

No	Changed Details	Date of change
0	[2012年09月25日] 掲載	Feb. 17, 2018, 10:37 a.m.