Ir para o conteúdo
ou

Software livre Brasil

 Voltar a Blogosfera d...
Tela cheia Sugerir um artigo

Alexandro Silva: Falha no Horde3 permite ataque de Cross Site Scripting ( XSS )

8 de Setembro de 2010, 0:00 , por Software Livre Brasil - 0sem comentários ainda | Ninguém está seguindo este artigo ainda.
Visualizado 196 vezes

Foi anunciada na lista Full-Disclosure uma falha no Horde3 que afeta as versões 3.3.8 e anteriores permitindo ataques de Cross Site Scripting (XSS).

OBS: Não é necessário estar logado para realizar este ataque.

A péssima notícia é que muitos dos webmails espalhados pelo globo estão usando uma das versões vulneráveis do Horde3.

Podemos usar o Google para encontrar empresas que utilizam o Horde3 como ferramenta de webmail.

Veja o exemplo abaixo:

* Consulta realizada no Google

intitle:”Horde”

* Testando em um dos links apresentados:

* PoC – Proof of Concept

Está vulnerabilidade foi reportada aos desenvolvedores do Horde3 desde maio de 2010 e já existe uma versão corrigida em seu repositório GIT.

Até o momento nenhuma Linux distro publicou nota sobre atualizações de segurança para está falha.

Google Bookmarks Twitter Technorati Favorites Google Gmail LinkedIn Google Reader WordPress Slashdot Reddit Delicious Multiply Digg Identi.ca Share/Bookmark


Fonte: http://blog.alexos.com.br/?p=1975&lang=pt-br

0sem comentários ainda

Enviar um comentário

Os campos são obrigatórios.

Se você é um usuário registrado, pode se identificar e ser reconhecido automaticamente.