Ir para conteúdo

Alerta de Vulnerabilidades - Horde Webmail

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Horde Webmail
ECOSSISTEMA
Outro
Descrição

A SonarSource descobriu uma vulnerabilidade (CVE-2022-30287) no Horde webmail, que pode ser explorada através de um pedido GET que pode ser acionado através de Cross-Site Request Forgery (CSRF). Para isto um atacante utiliza um e-mail malicioso especialmente construído e inclui uma imagem externa que quando processada explora a vulnerabilidade — a única condição é que um utilizador da organização abra este e-mail. Isto pode levar ao comprometimento de todo o serviço de e-mail da organização.
Refere-se a publicação da SonarSource para detalhes técnicos em [1].

 

Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite a um atacante a execução de código arbitrário.

 

Resolução

Ainda não existe atualização de segurança para corrigir esta vulnerabilidade. Recomenda-se a restrição de acesso exterior a este serviço recorrendo, por exemplo, a uma VPN.

Referências
Última atualização em 13-12-2020