Se insta a los usuarios de Horde Webmail a deshabilitar una función para contener una vulnerabilidad de seguridad sin parches de nueve años en el software que podría ser abusada para obtener acceso completo a las cuentas de correo electrónico simplemente con una vista previa de un archivo adjunto.
“Esto le da al atacante acceso a toda la información confidencial y quizás secreta que la víctima ha almacenado en su cuenta de correo electrónico y podría permitirle obtener más acceso a los servicios internos de una organización”, dijo el investigador de vulnerabilidades de SonarSource, Simon Scannell. dijo en un informe
Un “todo proyecto de voluntariadoHorde Project es una suite de comunicación gratuita basada en navegador que permite a los usuarios leer, enviar y organizar mensajes de correo electrónico, así como administrar y compartir calendarios, contactos, tareas, notas, archivos y favoritos.
La falla, que se introdujo como parte de un cambio de código publicado el 30 de noviembre de 2012, se relaciona con un caso de una falla de secuencias de comandos entre sitios almacenada “inusual” (también conocida como XSS persistente) que permite a un adversario crear un documento de OpenOffice de tal manera que cuando se previsualiza, ejecuta automáticamente JavaScript arbitrario carga útil.
Los ataques XSS almacenados surgen cuando se inyecta un script malicioso directamente en el servidor de una aplicación web vulnerable, como un campo de comentarios de un sitio web, lo que hace que el código no confiable se recupere y se transmita al navegador de la víctima cada vez que se solicita la información almacenada.
“La vulnerabilidad se activa cuando un usuario objetivo ve un documento adjunto de OpenOffice en el navegador”, dijo Scannell. “Como resultado, un atacante puede robar todos los correos electrónicos que la víctima ha enviado y recibido”.
Peor aún, si una cuenta de administrador con un correo electrónico malicioso personalizado se ve comprometida con éxito, el atacante podría abusar de este acceso privilegiado para apoderarse de todo el servidor de correo web.
La deficiencia se informó originalmente a los mantenedores del proyecto el 26 de agosto de 2021, pero hasta la fecha no se han enviado soluciones a pesar de la confirmación del proveedor que reconoce la falla. Nos comunicamos con Horde para obtener más comentarios, y lo actualizaremos si recibimos una respuesta.
Mientras tanto, se recomienda a los usuarios de Horde Webmail que deshabiliten la representación de archivos adjuntos de OpenOffice editando el config/mime_drivers.php para agregar la opción de configuración ‘deshabilitar’ => verdadera al controlador mime de OpenOffice.
About the Author
