Horde Webmail ist angreifbar, Angreifer könnten auf eine Sicherheitslücke hinweisen. Sicherheitsforscher von Sonar warnen, dass es wohl keine Sicherheitsupdates geben wird.
In einer Warnmeldung schreiben die Entdecker der Schwachstelle (CVE-2022-30287), dass das Projekt wohl nicht mehr gepflegt wird. Benutzern wird empfohlen, sich von der Software fernzuhalten und ein anderes Webmail zu verwenden.
Gefährliche Schwachstelle
Die Schwere der Schwachstelle wurde noch nicht bewertet. Im Artikel von Security Investigators heißt es, dass Angreifer nach einem erfolgreichen Angriff Schadcode auf dem zugrunde liegenden Server ausführen könnten.
Es wird normalerweise als “kritisch” eingestuft. Laut dem Artikel müssen sich Angreifer aber zumindest authentifizieren, um präparierte E-Mails zu versenden. In diesem Fall ist die Bewertung „hoch“ offensichtlich. Darüber hinaus konnten Angreifer die Anmeldeinformationen der Opfer im Klartext sehen. Es sollte ausreichen, dass das Opfer die E-Mail öffnet. Keine Interaktion mehr erforderlich.
Laut Ermittlern sind die Horde-Instanzen mit der aktuellen Version in der Standardkonfiguration angreifbar.
(aus)
Auf der Homepage