Horde script beszúrásos sérülékenységek

2012. november 15. 11:26

CH azonosító

CH-7944

Angol cím

Horde Multiple Products Portal Block Script Insertion Vulnerabilities

Felfedezés dátuma

2012.11.14.

Súlyosság

Alacsony

Érintett rendszerek

Groupware
Groupware Webmail Edition
Horde
Kronolith module

Érintett verziók

Horde Groupware 4.x
Horde Groupware Webmail Edition 4.x
Kronolith 3.x (Horde bővítmény)

Összefoglaló

A Horde Groupware, a Horde Groupware Webmail Edition és a Kronolith több sérülékenységét jelentették, amiket kihasználva a rosszindulatú felhasználók script beszúrásos (script insertion) támadásokat indíthatnak.

Leírás

A Naptárral (Calendar) kapcsolatos adatok nem megfelelően vannak megtisztítva portal blocks-ban, mielőtt a felhasználónál megjelenítésre kerülnének. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

A sérülékenységeket az alábbi termékekben jelentették:

Horde Groupware Webmail Edition 4.0.9 előtti verziók
Horde Groupware versions 4.0.9 előtti verziók
Kronolith 3.0.18 előtti verziók

Hivatkozások

Gyártói referencia: lists.horde.org
Gyártói referencia: lists.horde.org
Gyártói referencia: lists.horde.org
SECUNIA 51233

Legfrissebb sérülékenységek

CVE-2024-20401 – Cisco Secure Email Gateway sérülékenysége

CVE-2024-20419 – Cisco Smart Software Manager On-Prem sérülékenysége

CVE-2024-21687 – Atlassian Bamboo Data Center és Server sérülékenysége

CVE-2024-6385 – GitLab CE/EE sérülékenysége

CVE-2024-22280 – VMware Aria Automation sérülékenysége

CVE-2024-6151 – Citrix Virtual Apps and Desktops sérülékenysége

CVE-2024-6235 – NetScaler Console sérülékenysége

CVE-2024-38080 – Windows Hyper-V sérülékenysége

CVE-2024-38112 – Windows MSHTML Platform sérülékenysége

CVE-2024-3596 – RADIUS Protocol RFC 2865 prefix collision sérülékenysége

Tovább a sérülékenységekhez »

Horde script beszúrásos sérülékenységek