Horde IMP Webmail 4.0.7 Message Page Cross Site Scripting

VulDB: Horde IMP Webmail 4.0.7 Message Page Cross Site Scripting

Allgemein

Horde

scipID: 5467
Betroffen: Horde IMP Webmail 4.0.7
Veröffentlicht: 29.05.2012
Risiko: problematisch
Eintrag: 82.8% komplett
Erstellt: 01.06.2012
Aktualisiert: 06.06.2012

Beschreibung

In Horde IMP Webmail 4.0.7, ein Webmail, wurde eine problematische Schwachstelle gefunden. Davon betroffen ist eine unbekannte Funktion der Komponente Message Page. Durch die Manipulation mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 29.05.2012 in Form eines Changelog Entrys öffentlich gemacht. Bereitgestellt wird das Advisory unter github.com. Sie gilt als leicht auszunutzen. Der Angriff kann über das Netzwerk angegangen werden. Das Ausnutzen erfordert eine einfache Authentisierung. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt.

Es wurde direkt nach dem Advisory ein Exploit veröffentlicht.

Ein Aktualisieren auf die Version 4.0.8 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Horde hat demnach sofort reagiert. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von OSVDB (82370) dokumentiert.

CVSS

Base Score: 9.0 (CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C) [?]

Access Vector	Access Complexity	Authentication	Confidentiality	Integrity	Availability
Local	High	Multiple	None	None	None
Adjacent	Medium	Single	Partial	Partial	Partial
Network	Low	None	Complete	Complete	Complete

Exploiting

Klasse: Cross Site Scripting
Lokal: Nein
Remote: Ja

Verfügbarkeit: Ja
Zugang: öffentlich

Gegenmassnahmen

Empfehlung: Upgrade
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Exploit Delay Time: 0 Tage seit bekannt

Upgrade: IMP Webmail 4.0.8