Horde Webmail kullanıcılarından, yalnızca bir eki önizleyerek e-posta hesaplarına tam erişim sağlamak için kötüye kullanılabilecek, yazılımdaki dokuz yıllık yama uygulanmamış bir güvenlik açığını içeren bir özelliği devre dışı bırakmaları isteniyor.
SonarSource güvenlik açığı araştırmacısı Simon Scannell, “Bu, saldırganın bir kurbanın e-posta hesabında sakladığı tüm hassas ve belki de gizli bilgilere erişmesini sağlar ve bir kuruluşun dahili hizmetlerine daha fazla erişim elde etmelerine izin verebilir.” dedim bir raporda.
Bir “tüm gönüllüler projesiHorde Project, kullanıcıların e-posta mesajlarını okumasına, göndermesine ve düzenlemesine, ayrıca takvimleri, kişileri, görevleri, notları, dosyaları ve yer imlerini yönetmesine ve paylaşmasına olanak tanıyan ücretsiz, tarayıcı tabanlı bir iletişim paketidir.
Bir parçası olarak tanıtılan kusur, kod değişikliği 30 Kasım 2012’de yayınlandı, bir düşmanın bir OpenOffice belgesini önizlendiğinde otomatik olarak rastgele JavaScript’i yürütecek şekilde oluşturmasına izin veren “olağandışı” depolanmış siteler arası komut dosyası çalıştırma kusuru (diğer adıyla kalıcı XSS) ile ilgilidir. yük.
Saklanan XSS saldırıları, bir web sitesinin yorum alanı gibi savunmasız bir web uygulamasının sunucusuna doğrudan kötü amaçlı bir komut dosyası enjekte edildiğinde ortaya çıkar ve saklanan bilgiler her istendiğinde güvenilmeyen kodun alınmasına ve kurbanın tarayıcısına iletilmesine neden olur.
Scannell, “Açıklık, hedeflenen bir kullanıcı tarayıcıda ekli bir OpenOffice belgesini görüntülediğinde tetiklenir” dedi. “Sonuç olarak, bir saldırgan, kurbanın gönderdiği ve aldığı tüm e-postaları çalabilir.”
Daha da kötüsü, kişiselleştirilmiş, kötü niyetli bir e-postaya sahip bir yönetici hesabının güvenliği başarıyla ihlal edilirse, saldırgan bu ayrıcalıklı erişimi kötüye kullanarak tüm web posta sunucusunu ele geçirebilir.
Eksiklik ilk olarak 26 Ağustos 2021’de proje sahiplerine bildirildi, ancak bugüne kadar satıcının kusuru kabul ettiği onayına rağmen herhangi bir düzeltme gönderilmedi. Daha fazla yorum için Horde ile iletişime geçtik ve haber alırsak güncelleyeceğiz.
Bu arada, Horde Webmail kullanıcılarının OpenOffice eklerinin işlenmesini config/mime_drivers.php OpenOffice mime işleyicisine ‘devre dışı bırak’ => gerçek yapılandırma seçeneğini eklemek için dosya.
