Hai un dominio .IT? Ti regaliamo il .EU!

Breaking News

Scoperto un bug senza patch di oltre 9 anni sulla webmail di Horde

1 minuti lettura
Scoperto un bug senza patch di oltre 9 anni sulla webmail di Horde

È stata scoperta una vulnerabilità di sicurezza senza patch da oltre 9 anni nel software che potrebbe essere sfruttata per ottenere l’accesso completo agli account di posta elettronica visualizzando semplicemente in anteprima un allegato.

Secondo i ricercatori di SonarSource, “Questo bug offre all’attaccante l’accesso a tutte le informazioni sensibili memorizzate all’interno del proprio account di posta elettronica, per espandersi fino all’accesso ai servizi interni di un’organizzazione”.

Horde è un progetto nato come una suite di comunicazione gratuita basata su browser che consente agli utenti di ricevere e inviare email, salvare contatti, condividere calendari e gestire attività e file.

Il difetto è stato introdotto come parte di una modifica al codice il 30 novembre 2012 e si tratta di scripting incrociato, noto anche come XSS persistente. In sostanza, consente all’attaccante di creare un documento OpenOffice in modo che, quando viene visualizzato in anteprima, esegua in modo automatico un payload JavaScript arbitrario.

In generale, gli attacchi XSS si verificando quando uno script dannoso viene iniettato direttamente nel server di un’applicazione web causando la trasmissione del codice malevolo al browser ogni volta che vengono richieste le informazioni.

SonarSource continua spiegando che “La vulnerabilità si attiva quando un utente mirato visualizza un documento OpenOffice allegato nel browser. Di conseguenza, l’attaccante può rubare tutte le email che la vittima ha inviato e ricevuto”. Ancora peggio, se un account amministratore con un’email dannosa viene compromesso, l’attaccante potrebbe sfruttare l’accesso privilegiato per impossessarsi dell’intero server webmail.

Appena scoperto, il problema è stato segnalato ai manutentori del progetto il 26 agosto 2021 ma, ad oggi, non sono ancora state inviate correzioni nonostante il bug sia stato effettivamente confermato.

Nel frattempo, si consiglia agli utenti di Horde Webmail di disabilitare il rendering degli allegati di OpenOffice modificando il file config/mime_drivers.php aggiungendo l’opzione ‘disable’ => true configuration al gestore mime di OpenOffice.

Foto Manager Elena Parise
108 articoli

Note sull'autore
Marketing Assistant - Appassionata di scrittura e social media, crede fortemente nell’influenza positiva del digitale e della comunicazione nella vita quotidiana. In Shellrent supporta le imprese nell’identificazione delle soluzioni più adatte in materia di hosting, cloud e infrastrutture IT.
Articoli
Articoli correlati
Breaking News

Hai un dominio .IT? Shellrent ti regala il .EU

1 minuti lettura
In occasione dell’anniversario della Liberazione d’Italia, Shellrent ha preparato un regalo unico per contribuire ad ampliare la tua presenza online nel panorama…
Breaking News

Qual è il miglior client di posta elettronica?

6 minuti lettura
Nel corso degli anni, la posta elettronica ha acquisito sempre più rilevanza diventando un mezzo di comunicazione indispensabile a 360°, ovvero sia…
Breaking News

Migliori browser a confronto: quale scegliere?

2 minuti lettura
Il browser è lo strumento essenziale per navigare sul web. È la porta d’accesso a tutto ciò che Internet ha da offrire,…