Horde Groupware sérülékenységek

CH azonosító

CH-6396

Angol cím

Horde Groupware Two Vulnerabilities

Felfedezés dátuma

2012.02.13.

Súlyosság

Magas

Érintett rendszerek

Groupware
Horde

Érintett verziók

Horde Groupware 1.x

Összefoglaló

A Horde Groupware sérülékenységeit jelentették, amelyeket a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadásokra, valamint a sérülékeny rendszer feltörésére.

Leírás

  1. Az email űrlap mezőinek átadott bizonyos bemeneti adatok nincsenek megfelelően ellenőrizve, mielőtt visszaadnák azokat a felhasználónak. Ez kihasználható tetszőleges HTML és script kód lefuttatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
    Ez a sérülékenység kapcsolatos az alábbi sérülékenység 1. pontjával.
    CERT-Hungary CH-6287
    Ezt a sérülékenységet az 1.2.11 verziót megelőzőekben jelentették.
  2. Egy biztonsági problémát okoz a feltört Horde Groupware forrás kód csomagok terjedése, mert ezek egy hátsókaput (backdoor) tartalmaznak, ami kihasználható például tetszőleges PHP kód lefuttatására.
    A feltört forrás fájlt az 1.2.10 verzióval, 2011. november 9. és 2012. február 7. között terjesztették.

Megoldás

Frissítsen a legújabb verzióra