Межсайтовый скриптинг в продуктах Horde
| Дата публикации: | 12.09.2008 |
| Всего просмотров: | 1766 |
| Опасность: | Средняя |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2008-3823 CVE-2008-3824 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Межсайтовый скриптинг |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Horde Groupware Webmail Edition 1.x
Horde Groupware 1.x Horde Application Framework 3.x |
| Уязвимые версии: Horde Application Framework версии до 3.1.9 и 3.2.2 Horde Groupware версии до 1.0.7 и 1.1.3 Horde Groupware Webmail Edition версии до 1.0.8 и 1.1.3 Описание: 1. Уязвимость существует из-за недостаточной обработки данных в механизме присоединения MIME вложений в библиотеке MIME. Удаленный пользователь может с помощью специально сформированного email сообщения выполнить произвольный код сценария в браузере жертвы в контексте сессии пользователя. Уязвимости подвержены Horde Groupware Webmail Edition версии до 1.1.3, Horde Groupware версии до 1.1.3 и Horde Application Framework версии до 3.2.2 2. Уязвимость существует из-за недостаточной обработки входных данных в HTML сообщениях. Удаленный пользователь может выполнить произвольный код сценария в браузере жертвы в контексте сессии пользователя. Уязвимости подвержены Horde Groupware Webmail Edition версии до 1.0.8 и 1.1.3, Horde Groupware версии до 1.0.7 и 1.1.3, Horde Application Framework версии до 3.1.9 и 3.2.2 URL производителя: www.horde.org Решение: Установите последнюю версию с сайта производителя. |
|
| Ссылки: |
http://marc.info/?l=horde-announce&m=122105459907561&w=2 http://marc.info/?l=horde-announce&m=122105049900311&w=2 http://marc.info/?l=horde-announce&m=122104360019867&w=2 http://marc.info/?l=horde-announce&m=122104782527315&w=2 http://marc.info/?l=horde-announce&m=122104642924629&w=2 http://marc.info/?l=horde-announce&m=122103888111491&w=2 |