Sicherheitslücken in Horde Groupware gemeldet
Angreifer können zwei Schwachstellen in verschiedenen Horde Groupware Produkten für Cross-Site-Scripting-Attacken ausnutzen. Die neuste Version beseitigt diese Mängel.
Nach einer Meldung von Secunia sind folgende Versionen von Horde betroffen:
-
Horde Groupware (vor Version 1.1.1)
-
Horde Groupware Webmail Edition (vor Version 1.1.1)
Die Sicherheitslücken entstehen durch die mangelhafte Bereinigung von Eingaben an verschiedene Parameter von Horde Groupware. Durch gezielte Manipulation können Angreifer beliebigen HTML- und Scriptcode einspeisen, der in der Browsersitzung von anderen Horde Benutzern dargestellt/ausgeführt wird. Die neuste Version 1.1.1 beseitigt diese Mängel. Zugleich wird das Update auf Horde Application Framework Version 3.1.8 empfohlen. (vgw)