Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

XMCO Partners : Horde Products Cross-Site Scripting and Script Insertion

juin 2008 par XMCO PARTNERS

 Date : 16 Jun 2008

 Programme : Horde Application Framework, Horde Groupware,
Horde Groupware Webmail Edition

 Gravité : Faible

 Exploitation : Avec un lien malicieux

 Description : Une vulnérabilité a été découverte par l’équipe
XMCO dans des produits Horde (plateforme web Open Source).
L’exploitation de celle-ci permet à un attaquant possédant un compte
sur l’application de mener des attaques de type ’Cross Site
Scripting’ (XSS).

Le problème provient d’une mauvaise gestion du paramètre
’object[name]’ dans la page ’/horde/services/obrowser/index.php’.
Un attaquant possédant un compte sur l’application, est en mesure de
créer un contact ayant comme nom un code malicieux.
En incitant sa victime à visualiser à contact judicieusement conçu, un
code HTML/Javascript pouvait être exécuté sur le navigateur afin de
voler le cookie de session ou mener des attaques de type ’Phishing’.

 Vulnérables :

* Horde Application Framework
* Horde Groupware
* Horde Groupware Webmail Edition

 Référence :

http://lists.horde.org/archives/announce/2008/000416.html

http://lists.horde.org/archives/announce/2008/000415.html

http://lists.horde.org/archives/announce/2008/000419.html

http://lists.horde.org/archives/announce/2008/000417.html

http://lists.horde.org/archives/announce/2008/000420.html

http://lists.horde.org/archives/announce/2008/000418.html

 Correction : Nous vous recommandons d’appliquer les patchs
disponibles sur le site de l’éditeur :

* Horde Application Framework :

version 3.2.1

ftp://ftp.us.horde.org/pub/software/horde/horde/horde-3.2.1.tar.gz

* Horde Groupware :

version 1.1.1 :

ftp://ftp.us.horde.org/pub/software/horde/horde-groupware/horde-groupware-1.1.1.tar.gz

* Horde Groupware Webmail Edition :

version 1.1.1 :

ftp://ftp.us.horde.org/pub/software/horde/horde-webmail/horde-webmail-1.1.1.tar.gz


Voir les articles précédents

    

Voir les articles suivants