CVE编号
CVE-2022-26874利用情况
暂无补丁情况
N/A披露时间
2022-03-11漏洞描述
lib/Horde/Mime/Viewer/Ooo.php in Horde Mime_Viewer before 2.2.4 allows XSS via an OpenOffice document, leading to account takeover in Horde Groupware Webmail Edition. This occurs after XSLT rendering.解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://blog.sonarsource.com/horde-webmail-account-takeover-via-email/ | |
| https://github.com/horde/Mime_Viewer/commit/02b46cec1a7e8f1a6835b628850cd56b85963bb5 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | horde | horde_mime_viewer | * |
Up to (excluding) 2.2.4 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | debian_10 | php-horde-mime-viewer | * |
Up to (excluding) 2.2.2-3 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | debian_11 | php-horde-mime-viewer | * |
Up to (excluding) 2.2.2+debian0-2 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | debian_9 | php-horde-mime-viewer | * |
Up to (excluding) 2.2.1-1 |
|||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 已更改
- 用户交互 需要
- 可用性 无
- 保密性 低
- 完整性 低
还没有评论,来说两句吧...