IMP Horde Groupware/Horde Groupware Webmail Edition up to 5.2.15 data:text/html 跨站脚本攻击

CVE编号

CVE-2016-5303

利用情况

暂无

补丁情况

N/A

披露时间

2016-12-21

漏洞描述

Horde Groupware和Horde Groupware Webmail Edition都是美国Horde公司产品。Horde Groupware是一款免费的基于协作套件的浏览器。Horde Groupware Webmail是一款免费的基于通信套件的企业浏览器。Horde Text Filter API是其中的一个用于过滤和转换文本的方法。
Horde Groupware和Horde Groupware Webmail 5.2.16之前的版本中的Horde Text Filter API存在跨站脚本漏洞。远程攻击者可利用该漏洞注入任意的Web脚本或HTML。

解决建议

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：
https://github.com/horde/horde/commit/4d8176d1e9ef5cbd2b3fcacd9b9a4c8e482fb424

参考链接
http://marc.info/?l=horde-announce&m=147319066126665&w=2
http://marc.info/?l=horde-announce&m=147319089526753&w=2
http://www.securityfocus.com/bid/94997
https://github.com/horde/horde/commit/30d5506c20d26efbb9942fbdc6f981a0bd333b97
https://github.com/horde/horde/commit/4d8176d1e9ef5cbd2b3fcacd9b9a4c8e482fb424

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	horde	groupware	5.2.15	-
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 2.3.5-1

攻击路径网络
攻击复杂度低
权限要求无
影响范围已更改
用户交互需要
可用性无
保密性低
完整性低

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CWE-ID 漏洞类型 CWE-79 在Web页面生成时对输入的转义处理不恰当（跨站脚本）

正文

IMP Horde Groupware/Horde Groupware Webmail Edition up to 5.2.15 data:text/html 跨站脚本攻击

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

IBM WebSphere MQ Light拒绝服务漏洞

IBM Security Network Protection GSKit信息泄露漏洞

NetApp Data ONTAP信息泄露漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]