Se insta a los usuarios de Horde Webmail a deshabilitar una funci\u00f3n para contener una vulnerabilidad de seguridad sin parches de nueve a\u00f1os en el software que podr\u00eda ser abusada para obtener acceso completo a las cuentas de correo electr\u00f3nico simplemente con una vista previa de un archivo adjunto.<\/p>\n
“Esto le da al atacante acceso a toda la informaci\u00f3n confidencial y quiz\u00e1s secreta que la v\u00edctima ha almacenado en su cuenta de correo electr\u00f3nico y podr\u00eda permitirle obtener m\u00e1s acceso a los servicios internos de una organizaci\u00f3n”, dijo el investigador de vulnerabilidades de SonarSource, Simon Scannell. dijo<\/a> en un informe<\/p>\n Un “todo proyecto de voluntariado<\/a>Horde Project es una suite de comunicaci\u00f3n gratuita basada en navegador que permite a los usuarios leer, enviar y organizar mensajes de correo electr\u00f3nico, as\u00ed como administrar y compartir calendarios, contactos, tareas, notas, archivos y favoritos.<\/p>\n La falla, que se introdujo como parte de un cambio de c\u00f3digo<\/a> publicado el 30 de noviembre de 2012, se relaciona con un caso de una falla de secuencias de comandos entre sitios almacenada “inusual” (tambi\u00e9n conocida como XSS persistente) que permite a un adversario crear un documento de OpenOffice de tal manera que cuando se previsualiza, ejecuta autom\u00e1ticamente JavaScript arbitrario carga \u00fatil.<\/p>\n Los ataques XSS almacenados surgen cuando se inyecta un script malicioso directamente en el servidor de una aplicaci\u00f3n web vulnerable, como un campo de comentarios de un sitio web, lo que hace que el c\u00f3digo no confiable se recupere y se transmita al navegador de la v\u00edctima cada vez que se solicita la informaci\u00f3n almacenada.<\/p>\n “La vulnerabilidad se activa cuando un usuario objetivo ve un documento adjunto de OpenOffice en el navegador”, dijo Scannell. “Como resultado, un atacante puede robar todos los correos electr\u00f3nicos que la v\u00edctima ha enviado y recibido”.<\/p>\n Peor a\u00fan, si una cuenta de administrador con un correo electr\u00f3nico malicioso personalizado se ve comprometida con \u00e9xito, el atacante podr\u00eda abusar de este acceso privilegiado para apoderarse de todo el servidor de correo web.<\/p>\n La deficiencia se inform\u00f3 originalmente a los mantenedores del proyecto el 26 de agosto de 2021, pero hasta la fecha no se han enviado soluciones a pesar de la confirmaci\u00f3n del proveedor que reconoce la falla. Nos comunicamos con Horde para obtener m\u00e1s comentarios, y lo actualizaremos si recibimos una respuesta.<\/p>\n Mientras tanto, se recomienda a los usuarios de Horde Webmail que deshabiliten la representaci\u00f3n de archivos adjuntos de OpenOffice editando el config\/mime_drivers.php<\/a> para agregar la opci\u00f3n de configuraci\u00f3n ‘deshabilitar’ => verdadera al controlador mime de OpenOffice.<\/p>\n <\/p>\n<\/div>\n![\"Copias](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Error-de-pirateria-de-correo-electronico-sin-parches-de-9.png\")
<\/a><\/div>\n![\"Evitar](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/1645691527_265_Nuevo-malware-de-limpiaparabrisas-dirigido-a-Ucrania-en-medio-de.png\")
<\/a><\/div>\n