PHP で記述された web ベースグループウェアシステム phpgroupware の作者たちによって、いくつかの欠陥が発見されました。The Common Vulnerabilities and Exposures project では以下の問題を確認しています。
「calendar」モジュールは、holiday ファイルで「save extension (拡張子をつけて保存)」機能を強制していません。 このため、サーバサイド PHP スクリプトをディレクトリ内に置くことができ、 それがリモートからアクセス可能なため web サーバ上で実行される可能性があります。この問題は、holiday ファイルに「.txt」拡張子をつけることを強制することで対処されています。
SQL インジェクションを許す問題 (SQL で用いる値に対してのエスケープ抜け) が、「calendar」と「infolog」モジュールにあります。
これらに加えて、Debian メンテナにより、インストール中に以前の postinst スクリプトが誤って誰からでも書き込み可能なディレクトリを作っていた問題が 修正されています。
現安定版 (stable) woody では、これはバージョン 0.9.14-0.RC3.2.woody3 で修正されています。
不安定版 (unstable) sid では、これはバージョン 0.9.14.007-4 で修正されています。
すぐに phpgroupware、phpgroupware-calendar、phpgroupware-infolog の各パッケージをアップグレードすることを勧めます。