PT-2026-54913 · Horde Imp · Horde Imp

Evan

+1

·

Publicado

2026-07-01

·

Atualizado

2026-07-02

·

CVE-2026-58451

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas Horde IMP versões anteriores a 7.0.1
Descrição Um problema de traversal de caminho existe no arquivo lib/Compose.php. Atacantes autenticados podem ler arquivos arbitrários do sistema de arquivos do servidor ao incorporar sequências de traversal após um prefixo de caminho do CKEditor em URLs de img src. Isso ocorre porque a validação de prefixo stripos() pode ser burlada ao anexar segmentos de traversal, levando a função file get contents() a ler arquivos sensíveis. O conteúdo desses arquivos é então exfiltrado como partes MIME em e-mails enviados. Além disso, a exploração não autenticada é possível por meio de Cross-Site Request Forgery (CSRF), uma técnica usada para enganar o navegador de uma vítima para realizar uma ação indesejada em um site diferente onde a vítima está autenticada no momento.
Recomendações Atualize o Horde IMP para a versão 7.0.1 ou posterior.

Exploit

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-58451

Produtos afetados

Horde Imp