PT-2021-17184 · Horde · Horde Text Filter+1
Alex Birnberg
·
Publicado
2021-02-14
·
Atualizado
2021-04-19
·
CVE-2021-26929
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do Horde Groupware Webmail Edition até a 5.2.22
Descrição:
Foi descoberta uma vulnerabilidade XSS que permite que um invasor envie uma mensagem de e-mail em texto simples com JavaScript codificado como um link ou e-mail. Isso é mal interpretado pelo
preProcess no Text2html.php devido ao uso personalizado de x00x00x00 e x01x01x01, o que interfere nas defesas contra XSS.Recomendações:
Para as versões do Horde Groupware Webmail Edition até a 5.2.22, atualize a biblioteca Horde Text Filter para a versão 2.3.7 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o tratamento de mensagens de e-mail em texto simples com links ou e-mails codificados em JavaScript para minimizar o risco de exploração.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Horde Groupware Webmail Edition
Horde Text Filter