Horde Webmail软件中发现的9年前未修补的电子邮件黑客漏洞

Horde Webmail的用户被敦促禁用一项功能，以在软件中包含一个九年未修补的安全漏洞，该漏洞可能被滥用，只需预览附件即可完全访问电子邮件帐户。

SonarSource漏洞研究人员西蒙·斯坎内尔（Simon Scannell）在一份报告中说：“这使攻击者能够访问受害者存储在其电子邮件帐户中的所有敏感信息，也可能是机密信息，并使他们能够进一步访问一个组织的内部服务。”。

作为一个“全志愿者项目”，Horde项目是一个基于浏览器的免费通讯套件，允许用户阅读、发送和组织电子邮件，以及管理和共享日历、联系人、任务、笔记、文件和书签。

该漏洞是作为2012年11月30日推动的代码更改的一部分引入的，与一个“异常”存储的跨站点脚本漏洞（又称持久XSS）有关，该漏洞允许对手以这样一种方式制作OpenOffice文档，即在预览时，它会自动执行任意JavaScript负载。

当恶意脚本直接注入易受攻击的web应用程序的服务器（例如网站的注释字段）时，就会出现存储的XSS攻击，导致每次请求存储的信息时检索不受信任的代码并将其传输到受害者的浏览器。

Scannell说：“当目标用户在浏览器中查看附加的OpenOffice文档时，就会触发该漏洞。”。“因此，攻击者可以窃取受害者发送和接收的所有电子邮件。”

更糟糕的是，如果带有个性化恶意电子邮件的管理员帐户被成功入侵，攻击者可能会滥用此特权访问权来接管整个webmail服务器。

该缺陷最初是在2021年8月26日报告给项目维护人员的，但到目前为止，尽管供应商确认了缺陷，但仍没有修复。我们已经联系Horde寻求进一步的评论，如果我们得到回复，我们将更新。

在此期间，建议Horde Webmail用户通过编辑config/mime_驱动程序来禁用OpenOffice附件的呈现。添加“禁用”的php文件=>；OpenOffice mime处理程序的true配置选项。