首页 > 安全 > 正文

自2012年以来,部落Webmail软件受到危险错误的影响

最后更新 :2022.02.24

专家发现了一个九岁的UndateDed缺陷,可以允许访问电子邮件帐户。

Horde Webmail中的一个功能受到九岁的未被淘汰的安全漏洞的影响可以滥用,只需通过预览附件即可获得对电子邮件帐户的完全访问。

Horde Webmail是由部落项目开发的免费,企业准备和基于浏览器的通信套件。该Webmail解决方案被大学和政府机构广泛采用。

我们在部落中发现了一个代码漏洞,允许攻击者在加载预览时完全访问受害者的电子邮件帐户无害的电子邮件附件。阅读由Sonarsource发布的报告。这使攻击者访问所有敏感,也许秘密信息受害者已存储在其电子邮件帐户中,并且可以允许它们进一步访问内部s组织的ervices。

SONARSOURCE发现的漏洞是储存的XSS漏洞,其提交了9年前的提交325a7ae。自2012年11月30日发生的提交以来,该错误会影响所有版本。 可以通过预览特定的OpenOffice文档来执行恶意JavaScript有效载荷来触发该问题。在利用此问题时,攻击者可以窃取受害者已发送和收到的所有电子邮件。

攻击者可以制作一个OpenOffice文档,当通过Horde进行预览转换为XHTML时,可以执行恶意JavaScript有效载荷。继续报告。当目标用户在浏览器中查看附加的OpenOffice文档时,漏洞触发。

在最坏的情况下,攻击者可以危及管理员帐户并接管Webmail服务器。

Sonarsource差不多6个月前报道了这个缺陷,目前没有官方patcH可用。研究人员建议禁用OpenOffice附件的渲染。管理员可以在其部落安装的内容根中编辑CONFIG / MIME_DRIVERS.php文件添加

''禁用'\u003d\u003e true

配置选项到OpenOffice Mime Handler:

- END -

看更多