Horde vCard script beszúrás sérülékenység

CH azonosító

CH-3978

Angol cím

Horde Products vCard Script Insertion Vulnerability

Felfedezés dátuma

2010.11.22.

Súlyosság

Alacsony

Érintett rendszerek

Application Framework
Groupware
Groupware Webmail Edition
Horde

Érintett verziók

Horde Application Framework 3.x
Horde Groupware 1.x
Horde Groupware Webmail Edition 1.x

Összefoglaló

A Horde olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak script beszúrásos (script insertion) támadások okozására.

Leírás

A VCard megtekintésekor bizonyos nem részletezett bemeneti adat a felhasználó részére történő megjelenítését megelőzően nem kerül megfelelően ellenőrzésre.
Ez kihasználható tetszőleges HTML és script kód beszúrására, amely a felhasználó böngészőjének munkamenetében kerül futtatásra, az érintett oldallal kapcsolatosan, amikor a rosszindulatú VCard megtekintésre kerül.
 
 A sérülékenységeket a következő termékekben jelentették:

  •  Horde Application Framework 3.3.11. előtti verziók
  •  Horde Groupware 1.2.9. előtti verziók
  •  Horde Groupware Webmail Edition 1.2.9. előtti verziók

Megoldás

Frissítsen a legújabb verzióra

Hivatkozások

SECUNIA 42355
Gyártói referencia: bugs.horde.org
Gyártói referencia: lists.horde.org
Gyártói referencia: lists.horde.org
Gyártói referencia: lists.horde.org