漏洞信息详情
Horde Groupware Webmail Edition Horde IMP 跨站脚本漏洞
- CNNVD编号:CNNVD-201404-071
- 危害等级: 中危
- CVE编号: CVE-2012-6640
- 漏洞类型: 跨站脚本
- 发布时间: 2014-04-10
- 威胁类型: 远程
- 更新时间: 2014-04-10
- 厂 商: horde
- 漏洞来源:
漏洞简介
Horde Groupware Webmail Edition是美国Horde公司的一款免费的基于通信套件的企业浏览器,它支持读取、发送电子邮件,管理和共享日历、联系人等。Horde Internet Mail Program(IMP)是其中的一个基于PHP的用于访问IMAP和POP3邮件帐户的互联网通讯程序。
Horde Groupware Webmail Edition 4.0.8及之前版本使用的Horde IMP 5.0.21及之前版本中存在跨站脚本漏洞。远程攻击者可借助特制的SVG图像附件利用该漏洞注入任意Web脚本或HTML。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://lists.horde.org/archives/announce/2012/000775.HTML
参考网址
来源: github.com
链接:https://github.com/horde/horde/commit/08c699f744b6d2be1a5f3a2ba7203f4631b4c5dc
来源: MLIST
名称: [announce] 20121114 Horde Groupware Webmail Edition 4.0.9 (final)
链接:http://lists.horde.org/archives/announce/2012/000840.HTML
来源: MLIST
名称: [announce] 20120626 IMP H4 (5.0.22) (final)
链接:http://lists.horde.org/archives/announce/2012/000775.HTML
受影响实体
- Horde Imp:5.0.6
- Horde Imp:5.0.4
- Horde Imp:5.0.8
- Horde Imp:5.0.5
- Horde Groupware:4.0.8:Webamail
补丁
- horde-groupware-4.0.9
- horde-groupware-4.0.9
- horde-imp-5.0.22
- horde-imp-5.0.22
评论