Breaking News

Scoperto un bug senza patch di oltre 9 anni sulla webmail di Horde

1 minuti lettura
Scoperto un bug senza patch di oltre 9 anni sulla webmail di Horde

È stata scoperta una vulnerabilità di sicurezza senza patch da oltre 9 anni nel software che potrebbe essere sfruttata per ottenere l’accesso completo agli account di posta elettronica visualizzando semplicemente in anteprima un allegato.

Secondo i ricercatori di SonarSource, “Questo bug offre all’attaccante l’accesso a tutte le informazioni sensibili memorizzate all’interno del proprio account di posta elettronica, per espandersi fino all’accesso ai servizi interni di un’organizzazione”.

Horde è un progetto nato come una suite di comunicazione gratuita basata su browser che consente agli utenti di ricevere e inviare email, salvare contatti, condividere calendari e gestire attività e file.

Il difetto è stato introdotto come parte di una modifica al codice il 30 novembre 2012 e si tratta di scripting incrociato, noto anche come XSS persistente. In sostanza, consente all’attaccante di creare un documento OpenOffice in modo che, quando viene visualizzato in anteprima, esegua in modo automatico un payload JavaScript arbitrario.

In generale, gli attacchi XSS si verificando quando uno script dannoso viene iniettato direttamente nel server di un’applicazione web causando la trasmissione del codice malevolo al browser ogni volta che vengono richieste le informazioni.

SonarSource continua spiegando che “La vulnerabilità si attiva quando un utente mirato visualizza un documento OpenOffice allegato nel browser. Di conseguenza, l’attaccante può rubare tutte le email che la vittima ha inviato e ricevuto”. Ancora peggio, se un account amministratore con un’email dannosa viene compromesso, l’attaccante potrebbe sfruttare l’accesso privilegiato per impossessarsi dell’intero server webmail.

Appena scoperto, il problema è stato segnalato ai manutentori del progetto il 26 agosto 2021 ma, ad oggi, non sono ancora state inviate correzioni nonostante il bug sia stato effettivamente confermato.

Nel frattempo, si consiglia agli utenti di Horde Webmail di disabilitare il rendering degli allegati di OpenOffice modificando il file config/mime_drivers.php aggiungendo l’opzione ‘disable’ => true configuration al gestore mime di OpenOffice.

Foto Manager Elena Parise
90 articoli

Note sull'autore
Marketing Assistant - Appassionata di scrittura e social media, crede fortemente nell’influenza positiva del digitale e della comunicazione nella vita quotidiana. In Shellrent supporta le imprese nell’identificazione delle soluzioni più adatte in materia di hosting, cloud e infrastrutture IT.
Articoli
Articoli correlati
Breaking News

Windows o Linux: quale sistema operativo scegliere per un VPS?

2 minuti lettura
In fase di configurazione di un server virtuale privato (VPS), un importante passaggio è la scelta del sistema operativo che svolge un…
Breaking News

Migliori browser a confronto: quale scegliere?

3 minuti lettura
Il browser è uno strumento essenziale per navigare sul web. Si tratta infatti della porta d’accesso a tutto ciò che Internet ha…
Breaking News

Ansible e l’automazione dei processi IT

4 minuti lettura
Ansible è diventato uno degli strumenti più apprezzati dagli esperti nel campo dell’automazione IT. Il merito è da attribuire alla sua semplicità,…