Horde / Horde Groupware cross-cite sripting és fájl beszúrásos sérülékenysége

CH azonosító

CH-1903

Felfedezés dátuma

2009.01.27.

Súlyosság

Közepes

Érintett rendszerek

Application Framework
Groupware
Horde

Érintett verziók

Horde Groupware 1.x
Horde Application Framework 3.x

Összefoglaló

A Horde és a Horde Groupware több sérülékenységét jelentették, melyet kihasználva támadók cross-site scripting támadásokat indíthatnak és érzékeny információkhoz juthatnak.

Leírás

A Horde és a Horde Groupware több sérülékenységét jelentették, melyet kihasználva támadók cross-site scripting támadásokat indíthatnak és érzékeny információkhoz juthatnak.

  1. Az egyes paramétereken keresztül küldött bevitel a horde/services/portal/cloud_search.php-ben nincs megfelelően megtisztítva mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
  2. A framework/Image/Image.php-nek küldött bizonyos bement nincs megfelelően ellenőrizve, mielőtt fájlok beszúrásához használnák. Ez kihasználható tetszőleges fájlok beszúrására helyi forrásokból.

A sérülékenységeket a Horde 3.2.4-est és a 3.3.3-ast megelőző verziókban, valamint a Horde Groupware 1.1.5-öst megeleőző verzióiban jelentették

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-30066 – tj-actions/changed-files GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-24472 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége
CVE-2017-12637 – SAP NetWeaver Directory Traversal sebezhetősége
CVE-2024-48248 – NAKIVO Backup and Replication Absolute Path Traversal sebezhetősége
CVE-2025-1316 – Edimax IC-7100 IP Camera OS Command Injection sebezhetősége
CVE-2019-9875 – Sitecore CMS and Experience Platform (XP) Deserialization sebezhetősége
CVE-2019-9874 – Sitecore CMS and Experience Platform (XP) Deserialization sebezhetősége
Tovább a sérülékenységekhez »