Ir para conteúdo

Alerta de Vulnerabilidades - Horde Webmail

23 Fev 2022

Alerta de Vulnerabilidades - Horde Webmail

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Horde Webmail
ECOSSISTEMA
Outro
Descrição

A SonarSource descobriu uma vulnerabilidade de Cross-Site Scripting (XSS) no Horde webmail. Esta vulnerabilidade permite, aquando da pré-visualização de um anexo de e-mail de um documento OpenOffice especialmente construído, que um atacante tenha acesso à conta de e-mail e, consequentemente, o furto de todos os e-mails do utilizador. Caso este utilizador seja administrador, o atacante poderá usar o acesso privilegiado para assumir controlo do servidor de webmail.
Refere-se a publicação da SonarSource para detalhes técnicos em [1].

 

Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite ao atacante acesso a informação sensível e assumir controlo do servidor de webmail.

 

Resolução
Não existindo ainda atualização de segurança disponível que corrija esta vulnerabilidade, recomenda-se a desativação da renderização de anexos OpenOffice como descrito em [1]. Os administradores podem editar o ficheiro  config/mime_drivers.php  no content root da instalação Horde, e adicionar a opção de configuração 'disable' => true .

 

Referências

[1] https://blog.sonarsource.com/horde-webmail-account-takeover-via-email

[2] https://therecord.media/unpatched-bug-allows-takeover-of-horde-webmail-accounts-servers/

Última atualização em 07-09-2022