CH azonosító
CH-3978Angol cím
Horde Products vCard Script Insertion VulnerabilityFelfedezés dátuma
2010.11.22.Súlyosság
AlacsonyÉrintett rendszerek
Application FrameworkGroupware
Groupware Webmail Edition
Horde
Érintett verziók
Horde Application Framework 3.x
Horde Groupware 1.x
Horde Groupware Webmail Edition 1.x
Összefoglaló
A Horde olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak script beszúrásos (script insertion) támadások okozására.
Leírás
A VCard megtekintésekor bizonyos nem részletezett bemeneti adat a felhasználó részére történő megjelenítését megelőzően nem kerül megfelelően ellenőrzésre.
Ez kihasználható tetszőleges HTML és script kód beszúrására, amely a felhasználó böngészőjének munkamenetében kerül futtatásra, az érintett oldallal kapcsolatosan, amikor a rosszindulatú VCard megtekintésre kerül.
A sérülékenységeket a következő termékekben jelentették:
- Horde Application Framework 3.3.11. előtti verziók
- Horde Groupware 1.2.9. előtti verziók
- Horde Groupware Webmail Edition 1.2.9. előtti verziók
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 42355
Gyártói referencia: bugs.horde.org
Gyártói referencia: lists.horde.org
Gyártói referencia: lists.horde.org
Gyártói referencia: lists.horde.org
