CH azonosító
CH-7944Angol cím
Horde Multiple Products Portal Block Script Insertion VulnerabilitiesFelfedezés dátuma
2012.11.14.Súlyosság
AlacsonyÉrintett rendszerek
GroupwareGroupware Webmail Edition
Horde
Kronolith module
Érintett verziók
Horde Groupware 4.x
Horde Groupware Webmail Edition 4.x
Kronolith 3.x (Horde bővítmény)
Összefoglaló
A Horde Groupware, a Horde Groupware Webmail Edition és a Kronolith több sérülékenységét jelentették, amiket kihasználva a rosszindulatú felhasználók script beszúrásos (script insertion) támadásokat indíthatnak.
Leírás
A Naptárral (Calendar) kapcsolatos adatok nem megfelelően vannak megtisztítva portal blocks-ban, mielőtt a felhasználónál megjelenítésre kerülnének. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenységeket az alábbi termékekben jelentették:
- Horde Groupware Webmail Edition 4.0.9 előtti verziók
- Horde Groupware versions 4.0.9 előtti verziók
- Kronolith 3.0.18 előtti verziók
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: lists.horde.org
Gyártói referencia: lists.horde.org
Gyártói referencia: lists.horde.org
SECUNIA 51233
