Les utilisateurs de Horde Webmail sont invités à désactiver une fonctionnalité pour contenir une vulnérabilité de sécurité non corrigée vieille de neuf ans dans le logiciel qui pourrait être exploitée pour obtenir un accès complet aux comptes de messagerie simplement en prévisualisant une pièce jointe.
« Cela donne à l’attaquant un accès à toutes les informations sensibles et peut-être secrètes qu’une victime a stockées dans son compte de messagerie et pourrait lui permettre d’accéder davantage aux services internes d’une organisation », a déclaré Simon Scannell, chercheur en vulnérabilités à SonarSource. mentionné dans un rapport.
Une « tout projet bénévole« , le projet Horde est une suite de communication gratuite basée sur un navigateur qui permet aux utilisateurs de lire, d’envoyer et d’organiser des e-mails, ainsi que de gérer et de partager des calendriers, des contacts, des tâches, des notes, des fichiers et des signets.
La faille, qui a été introduite dans le cadre d’un changement de code poussé le 30 novembre 2012, concerne un cas de faille de script intersite stockée « inhabituelle » (ou XSS persistant) qui permet à un adversaire de créer un document OpenOffice de telle manière que lorsqu’il est prévisualisé, il exécute automatiquement JavaScript arbitraire charge utile.
Les attaques XSS stockées surviennent lorsqu’un script malveillant est injecté directement dans le serveur d’une application Web vulnérable, tel qu’un champ de commentaire d’un site Web, entraînant la récupération et la transmission du code non fiable au navigateur de la victime chaque fois que les informations stockées sont demandées.
« La vulnérabilité se déclenche lorsqu’un utilisateur ciblé affiche un document OpenOffice joint dans le navigateur », a déclaré Scannell. « En conséquence, un attaquant peut voler tous les e-mails que la victime a envoyés et reçus. »
Pire encore, si un compte administrateur avec un e-mail personnalisé et malveillant est compromis avec succès, l’attaquant pourrait abuser de cet accès privilégié pour prendre le contrôle de l’ensemble du serveur de messagerie Web.
La lacune a été initialement signalée aux responsables du projet le 26 août 2021, mais à ce jour, aucun correctif n’a été envoyé malgré la confirmation du fournisseur reconnaissant la faille. Nous avons contacté Horde pour plus de commentaires, et nous mettrons à jour si nous recevons une réponse.
Dans l’intervalle, il est conseillé aux utilisateurs de Horde Webmail de désactiver le rendu des pièces jointes OpenOffice en modifiant le config/mime_drivers.php fichier pour ajouter l’option de configuration ‘disable’ => true au gestionnaire mime OpenOffice.