XMCO Partners : Horde Products Cross-Site Scripting and Script Insertion
juin 2008 par XMCO PARTNERS
– Date : 16 Jun 2008
– Programme : Horde Application Framework, Horde Groupware,
Horde Groupware Webmail Edition
– Gravité : Faible
– Exploitation : Avec un lien malicieux
– Description : Une vulnérabilité a été découverte par l’équipe
XMCO dans des produits Horde (plateforme web Open Source).
L’exploitation de celle-ci permet à un attaquant possédant un compte
sur l’application de mener des attaques de type ’Cross Site
Scripting’ (XSS).
Le problème provient d’une mauvaise gestion du paramètre
’object[name]’ dans la page ’/horde/services/obrowser/index.php’.
Un attaquant possédant un compte sur l’application, est en mesure de
créer un contact ayant comme nom un code malicieux.
En incitant sa victime à visualiser à contact judicieusement conçu, un
code HTML/Javascript pouvait être exécuté sur le navigateur afin de
voler le cookie de session ou mener des attaques de type ’Phishing’.
– Vulnérables :
* Horde Application Framework
* Horde Groupware
* Horde Groupware Webmail Edition
– Référence :
http://lists.horde.org/archives/announce/2008/000416.html
http://lists.horde.org/archives/announce/2008/000415.html
http://lists.horde.org/archives/announce/2008/000419.html
http://lists.horde.org/archives/announce/2008/000417.html
http://lists.horde.org/archives/announce/2008/000420.html
http://lists.horde.org/archives/announce/2008/000418.html
– Correction : Nous vous recommandons d’appliquer les patchs
disponibles sur le site de l’éditeur :
* Horde Application Framework :
version 3.2.1
ftp://ftp.us.horde.org/pub/software/horde/horde/horde-3.2.1.tar.gz
* Horde Groupware :
version 1.1.1 :
ftp://ftp.us.horde.org/pub/software/horde/horde-groupware/horde-groupware-1.1.1.tar.gz
* Horde Groupware Webmail Edition :
version 1.1.1 :
ftp://ftp.us.horde.org/pub/software/horde/horde-webmail/horde-webmail-1.1.1.tar.gz