Horde script beszúrásos sérülékenységek

2012. november 15. 11:26

CH azonosító

CH-7944

Angol cím

Horde Multiple Products Portal Block Script Insertion Vulnerabilities

Felfedezés dátuma

2012.11.14.

Súlyosság

Alacsony

Érintett rendszerek

Groupware
Groupware Webmail Edition
Horde
Kronolith module

Érintett verziók

Horde Groupware 4.x
Horde Groupware Webmail Edition 4.x
Kronolith 3.x (Horde bővítmény)

Összefoglaló

A Horde Groupware, a Horde Groupware Webmail Edition és a Kronolith több sérülékenységét jelentették, amiket kihasználva a rosszindulatú felhasználók script beszúrásos (script insertion) támadásokat indíthatnak.

Leírás

A Naptárral (Calendar) kapcsolatos adatok nem megfelelően vannak megtisztítva portal blocks-ban, mielőtt a felhasználónál megjelenítésre kerülnének. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

A sérülékenységeket az alábbi termékekben jelentették:

Horde Groupware Webmail Edition 4.0.9 előtti verziók
Horde Groupware versions 4.0.9 előtti verziók
Kronolith 3.0.18 előtti verziók

Hivatkozások

Gyártói referencia: lists.horde.org
Gyártói referencia: lists.horde.org
Gyártói referencia: lists.horde.org
SECUNIA 51233

Legfrissebb sérülékenységek

CVE-2023-4863 – Google Chrome sérülékenysége

CVE-2023-40186 – FreeRDP sérülékenysége

CVE-2023-20890 – VMware Aria Operations For Networks sérülékenysége

CVE-2023-34039 – VMware Aria Operations for Networks sérülékenysége

CVE-2023-23770 – Motorola MBTS Site Controller sérülékenysége

CVE-2023-38388 – JupiterX Core Premium WordPress Plugin sérülékenysége

CVE-2023-38831 – RARLabs WinRAR sérülékenysége

CVE-2023-38035 – Ivanti Sentry sérülékenysége

CVE-2023-20212 – ClamAV sérülékenysége

CVE-2023-36847 – Juniper Networks Junos OS sérülékenysége

Tovább a sérülékenységekhez »

Horde script beszúrásos sérülékenységek