Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

XMCO Partners : Horde Products Cross-Site Scripting and Script Insertion

juin 2008 par XMCO PARTNERS

- Date : 16 Jun 2008

- Programme : Horde Application Framework, Horde Groupware, Horde Groupware Webmail Edition

- Gravité : Faible

- Exploitation : Avec un lien malicieux

- Description : Une vulnérabilité a été découverte par l’équipe XMCO dans des produits Horde (plateforme web Open Source). L’exploitation de celle-ci permet à un attaquant possédant un compte sur l’application de mener des attaques de type ’Cross Site Scripting’ (XSS).

Le problème provient d’une mauvaise gestion du paramètre ’object[name]’ dans la page ’/horde/services/obrowser/index.php’. Un attaquant possédant un compte sur l’application, est en mesure de créer un contact ayant comme nom un code malicieux. En incitant sa victime à visualiser à contact judicieusement conçu, un code HTML/Javascript pouvait être exécuté sur le navigateur afin de voler le cookie de session ou mener des attaques de type ’Phishing’.

- Vulnérables :

* Horde Application Framework
* Horde Groupware
* Horde Groupware Webmail Edition

- Référence :

http://lists.horde.org/archives/announce/2008/000416.html

http://lists.horde.org/archives/announce/2008/000415.html

http://lists.horde.org/archives/announce/2008/000419.html

http://lists.horde.org/archives/announce/2008/000417.html

http://lists.horde.org/archives/announce/2008/000420.html

http://lists.horde.org/archives/announce/2008/000418.html

- Correction : Nous vous recommandons d’appliquer les patchs disponibles sur le site de l’éditeur :

* Horde Application Framework :

version 3.2.1

ftp://ftp.us.horde.org/pub/software/horde/horde/horde-3.2.1.tar.gz

* Horde Groupware :

version 1.1.1 :

ftp://ftp.us.horde.org/pub/software/horde/horde-groupware/horde-groupware-1.1.1.tar.gz

* Horde Groupware Webmail Edition :

version 1.1.1 :

ftp://ftp.us.horde.org/pub/software/horde/horde-webmail/horde-webmail-1.1.1.tar.gz




Voir les articles précédents

    

Voir les articles suivants