você está aqui: Home  → Arquivo de Mensagens

Falha no Horde3 permite ataque de Cross Site Scripting ( XSS )

Colaboração: Alexandro Silva

Data de Publicação: 12 de setembro de 2010

Foi anunciada na lista Full-Disclosure uma falha no Horde3 que afeta as versões 3.3.8 e anteriores permitindo ataques de Cross Site Scripting (XSS).

OBS: Não é necessário estar logado para realizar este ataque.

A péssima notícia é que muitos dos webmails espalhados pelo globo estão usando uma das versões vulneráveis do Horde3.

Podemos usar o Google para encontrar empresas que utilizam o Horde3 como ferramenta de webmail.

Veja o exemplo abaixo:

Consulta realizada no Google

  intitle:"Horde"

Testando em um dos links apresentados:

PoC - Proof of Concept

Está vulnerabilidade foi reportada aos desenvolvedores do Horde3 desde maio de 2010 e já existe uma versão corrigida em seu repositório GIT.

Até o momento nenhuma Linux distro publicou nota sobre atualizações de segurança para está falha.



Veja a relação completa dos artigos de Alexandro Silva

 

 

Opinião dos Leitores

Lian
14 Out 2010, 08:33
O endereço do site da segunda imagem ainda esta exposto
Fernando Basso
14 Set 2010, 15:28
Os feeds do Dicas-L não estão funcionando no liferea.
Dá o seguinte erro:


There were errors while parsing this feed!
Details
Could not detect the type of this feed! Please check if the source really points to a resource provided in one of the supported syndication formats!

XML Parser Output:
The URL you want Liferea to subscribe to points to a webpage and the auto discovery found no feeds on this page. Maybe this webpage just does not support feed auto discovery.Could not determine the feed type.

You may want to validate the feed using FeedValidator

debiano
14 Set 2010, 11:20
no debian

http://www.debian.org/security/2010/dsa-1966
Taf
12 Set 2010, 11:03
Vc expôs o site na segunda imagem no canto esquerdo inferior!
Corrige isso!
Vlw!
Taf
12 Set 2010, 10:59
Boa!
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script