Horde Webmail mail yazılımda zafiyet keşfedildi. Zafiyetin istismarı durumunda kullanıcıların hassas verilerine erişim sağlanacağı belirtiliyor. Keşfedilen güvenlik açığı bir XSS zafiyeti ve sistemler üzerinde RCE neden olabiliyor. İşin kötü tarafı saldırganlar mail sunucuna kadar ilerleyip ele geçirebiliyor.
30 Kasım 2012’de başlatılan bir kod değişikliğinin parçası olarak ortaya çıkan zafiyet OpenOffice belgesi oluşturmasına izin veriyor ve saldırganlar tarafından özel olarak hazırlanan office dosyaları görüntülendiğinde kullanıcının tüm mailleri çalınabiliyor.
Horde Webmail tamamen gönüllülerin oluşturduğu bir proje ve şu ana kadar zafiyet ile ilgili bir açıklama veya bir günelleme gelmiş değil.
Horde Webmail kullanıcılarının OpenOffice mime ‘disable’ => true konfigürasyon seçeneğini eklemek için config/mime_drivers.php dosyasını düzenleyerek OpenOffice eklerinin oluşturulmasını devre dışı bırakmaları tavsiye ediliyor.
Kaynak: thehackernews.com
