Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/02/2012
Dues vulnerabilitats a Horde Groupware
S’ha informat d’una vulnerabilitat i un problema de seguretat en Horde Groupware, que podrien ser aprofitats per gent maliciosa per a provocar atacs XSS i comprometre un sistema vulnerable.S’ha informat d’una vulnerabilitat i un problema de seguretat en Horde Groupware, que podrien ser aprofitats per gent maliciosa per a provocar atacs XSS i comprometre un sistema vulnerable.
1) Determinada informació introduïda en un camp d’un formulari no se sanititza correctament abans de ser tornada a l’usuari. Açò podria ser aprofitat per a executar codi HTML i script en la sessió del navegador de l’usuari dins del lloc afectat.
Esta vulnerabilitat podria estar relacionada amb la número 1 en:
SA47592
Esta vulnerabilitat està reportada en versions anteriors a 1.2.11.
2) El problema de seguretat es deu a la distribució d’una versió compromesa d’Horde Groupware que conté una porta posterior, que podria ser explotat per a, per exemple, executar codi PHP arbitrari.
El codi font compromés va ser distribuït amb la versió 1.2.10 entre el 9 de novembre de 2011 i el 7 de febrer de 2012.
Sistemes Afectats:Horde Groupware 1.x
Referències:CVE-2012-0209, CVE-2012-0909
Solució:Actualitzeu a la versió 1.2.11.
Notes:http://lists.horde.org/archives/announce/2012/000749.html
http://lists.horde.org/archives/announce/2012/000751.html
http://git.horde.org/diff.php/groupware/docs/groupware/CHANGES?rt=horde&r1=1.38.2.16&r2=1.38.2.17&ty=h