Sicherheitslücken in Horde Groupware gemeldet

Angreifer können zwei Schwachstellen in verschiedenen Horde Groupware Produkten für Cross-Site-Scripting-Attacken ausnutzen. Die neuste Version beseitigt diese Mängel.

Nach einer Meldung von Secunia sind folgende Versionen von Horde betroffen:

  • Horde Groupware (vor Version 1.1.1)

  • Horde Groupware Webmail Edition (vor Version 1.1.1)

Die Sicherheitslücken entstehen durch die mangelhafte Bereinigung von Eingaben an verschiedene Parameter von Horde Groupware. Durch gezielte Manipulation können Angreifer beliebigen HTML- und Scriptcode einspeisen, der in der Browsersitzung von anderen Horde Benutzern dargestellt/ausgeführt wird. Die neuste Version 1.1.1 beseitigt diese Mängel. Zugleich wird das Update auf Horde Application Framework Version 3.1.8 empfohlen. (vgw)