De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.

Falha no Horde3 permite ataque de Cross Site Scripting ( XSS )

Colaboração: Alexandro Silva

Data de Publicação: 12 de setembro de 2010

Foi anunciada na lista Full-Disclosure uma falha no Horde3 que afeta as versões 3.3.8 e anteriores permitindo ataques de Cross Site Scripting (XSS).

OBS: Não é necessário estar logado para realizar este ataque.

A péssima notícia é que muitos dos webmails espalhados pelo globo estão usando uma das versões vulneráveis do Horde3.

Podemos usar o Google para encontrar empresas que utilizam o Horde3 como ferramenta de webmail.

Veja o exemplo abaixo:

Consulta realizada no Google 

  intitle:"Horde"

Testando em um dos links apresentados:

PoC - Proof of Concept

Está vulnerabilidade foi reportada aos desenvolvedores do Horde3 desde maio de 2010 e já existe uma versão corrigida em seu repositório GIT.

Até o momento nenhuma Linux distro publicou nota sobre atualizações de segurança para está falha.

Adicionar comentário

* Campos obrigatórios
5000
Powered by Commentics

Comentários

Nenhum comentário ainda. Seja o primeiro!


Veja a relação completa dos artigos de Alexandro Silva