9 jaar oude ongepatchte e-mailhacking-bug ontdekt in Horde Webmail-software

Logiciel de messagerie Web Horde Nachrichten

Gebruikers van Horde Webmail worden aangespoord om een ​​functie uit te schakelen die een negen jaar oude niet-gepatchte beveiligingskwetsbaarheid in de software bevat die kan worden misbruikt om volledige toegang tot e-mailaccounts te krijgen door simpelweg een voorbeeld van een bijlage te bekijken.

“Dit geeft de aanvaller toegang tot alle gevoelige en misschien geheime informatie die een slachtoffer in zijn e-mailaccount heeft opgeslagen en kan hen in staat stellen om verdere toegang te krijgen tot de interne diensten van een organisatie”, zegt SonarSource-kwetsbaarheidsonderzoeker Simon Scannell. zei in een rapport.

Een “alle vrijwilligersprojecten,” het Horde Project is een gratis, browsergebaseerd communicatiepakket waarmee gebruikers e-mailberichten kunnen lezen, verzenden en ordenen, evenals agenda’s, contacten, taken, notities, bestanden en bladwijzers kunnen beheren en delen.

De fout, die werd geïntroduceerd als onderdeel van een code wijzigen gepusht op 30 november 2012, heeft betrekking op een geval van een “ongebruikelijke” opgeslagen cross-site scriptingfout (ook bekend als persistente XSS) waardoor een tegenstander een OpenOffice-document kan maken op een zodanige manier dat wanneer het wordt bekeken, het automatisch willekeurig JavaScript uitvoert laadvermogen.

Opgeslagen XSS-aanvallen treden op wanneer een kwaadaardig script rechtstreeks in de server van een kwetsbare webtoepassing wordt geïnjecteerd, zoals een commentaarveld van een website, waardoor de niet-vertrouwde code wordt opgehaald en naar de browser van het slachtoffer wordt verzonden telkens wanneer om de opgeslagen informatie wordt gevraagd.

“De kwetsbaarheid treedt op wanneer een beoogde gebruiker een bijgevoegd OpenOffice-document in de browser bekijkt”, aldus Scannell. “Hierdoor kan een aanvaller alle e-mails stelen die het slachtoffer heeft verzonden en ontvangen.”

Erger nog, als een beheerdersaccount met een gepersonaliseerde, kwaadaardige e-mail succesvol wordt gehackt, kan de aanvaller deze bevoorrechte toegang misbruiken om de hele webmailserver over te nemen.

De tekortkoming werd oorspronkelijk gemeld aan de projectbeheerders op 26 augustus 2021, maar tot op heden zijn er geen fixes verzonden ondanks bevestiging van de leverancier die de fout erkent. We hebben contact opgenomen met Horde voor meer commentaar en we zullen updaten als we iets horen.

In de tussentijd worden gebruikers van Horde Webmail geadviseerd om het weergeven van OpenOffice-bijlagen uit te schakelen door de config/mime_drivers.php bestand om de ‘disable’ => true configuratie-optie toe te voegen aan OpenOffice mime-handler.

David
Rate author
Hackarizona