Assine a Lista Dicas-L
Receba diariamente por email as dicas
de informática publicadas neste site
Para se descadastrar, clique aqui.
Falha no Horde3 permite ataque de Cross Site Scripting ( XSS )
Colaboração: Alexandro Silva
Data de Publicação: 12 de setembro de 2010
Foi anunciada na lista Full-Disclosure uma falha no Horde3 que afeta as versões 3.3.8 e anteriores permitindo ataques de Cross Site Scripting (XSS).
OBS: Não é necessário estar logado para realizar este ataque.
A péssima notícia é que muitos dos webmails espalhados pelo globo estão usando uma das versões vulneráveis do Horde3.
Podemos usar o Google para encontrar empresas que utilizam o Horde3 como ferramenta de webmail.
Veja o exemplo abaixo:
Consulta realizada no Google
intitle:"Horde"
Testando em um dos links apresentados:
 |
PoC - Proof of Concept
 |
Está vulnerabilidade foi reportada aos desenvolvedores do Horde3 desde maio de 2010 e já existe uma versão corrigida em seu repositório GIT.
Até o momento nenhuma Linux distro publicou nota sobre atualizações de segurança para está falha.
Referências Adicionais
Referências adicionais sobre os assuntos abordados neste site podem ser encontradas em nossa Bibliografia.
Avalie esta dica
Opinião dos Leitores
14 Set 2010, 15:28
Dá o seguinte erro:
There were errors while parsing this feed!
Details
Could not detect the type of this feed! Please check if the source really points to a resource provided in one of the supported syndication formats!
XML Parser Output:
The URL you want Liferea to subscribe to points to a webpage and the auto discovery found no feeds on this page. Maybe this webpage just does not support feed auto discovery.Could not determine the feed type.
You may want to validate the feed using FeedValidator
14 Set 2010, 11:20
http://www.debian.org/security/2010/dsa-1966
12 Set 2010, 11:03
Corrige isso!
Vlw!
12 Set 2010, 10:59
