2022-0444: Horde Groupware Webmail Edition: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2022-02-24 18:22)

Neues Advisory

Version 2 (2022-03-01 17:22)

Im Zuge der Untersuchungen auf Verwundbarkeit gegenüber der Cross-Site-Scripting (XSS)-Schwachstelle wurde uns gemeldet, dass Horde Webmail mindestens von einer weiteren, bislang nicht behobenen Schwachstelle betroffen sein kann. Die Schwachstelle wurde vor 1,5 Jahren von der Zero Day Initiative (ZDI) veröffentlicht, nachdem der Hersteller nicht auf die Meldung reagiert hatte, und besteht in 'imp/lib/Prefs/Sort.php' in der Komponente IMP in Version 6.2.27.

Version 3 (2022-03-03 12:00)

Das Horde-Entwicklungsprojekt gibt den Release der Horde_Mime_Viewer Library in Version 2.2.4 bekannt, welche die Cross-Site-Scripting (XSS)-Schwachstelle adressieren soll. In der Nachricht ist außerdem eine Referenz enthalten, die das Update- bzw. Upgrade-Verfahren zum Einspielen der Bibliothek erläutert.

Version 4 (2022-06-07 09:21)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'php-horde-mime-viewer' in Version 2.2.1-1+deb9u1 bereit, welches die Schwachstelle CVE-2022-26874 behebt.

Version 5 (2022-08-31 11:54)

Für Debian 10 Buster (LTS) steht ein Sicherheitsupdate für 'php-horde-mime-viewer' in Version 2.2.2-3+deb10u1 bereit, welches die Schwachstelle CVE-2022-26874 behebt.

Version 6 (2024-10-21 09:42)

Für Debian 11 Bullseye (LTS) steht ein Sicherheitsupdate für 'php-horde-mime-viewer' in Version 2.2.4+debian0-2~deb11u1 bereit, welches die Schwachstelle CVE-2022-26874 behebt.

Betroffene Software

Middleware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann die Schwachstelle aus der Ferne ausnutzen, um einen Cross-Site-Scripting (XSS)-Angriff durchzuführen und dadurch die Benutzeraccounts von angemeldeten Benutzern zu übernehmen. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers.

Die Schwachstelle betrifft laut den Entdeckern Horde Webmail in Version 5.2.22. Die Einführung der betroffenen Funktionalität liegt etwa 9 Jahre zurück. Der Hersteller hat bisher nicht auf Medienberichte zur Schwachstelle reagiert. Details zur Schwachstelle sind mittlerweile öffentlich verfügbar.

Schwachstellen:

CVE-2022-26874

Schwachstelle in Horde Webmail ermöglicht Cross-Site-Scripting-Angriff

HORDE-IMP-6-2-27-A

Schwachstelle in Horde Webmail ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.