Falha no Horde3 permite ataque de Cross Site Scripting ( XSS )
Colaboração: Alexandro Silva
Data de Publicação: 12 de setembro de 2010
Foi anunciada na lista Full-Disclosure uma falha no Horde3 que afeta as versões 3.3.8 e anteriores permitindo ataques de Cross Site Scripting (XSS).
OBS: Não é necessário estar logado para realizar este ataque.
A péssima notícia é que muitos dos webmails espalhados pelo globo estão usando uma das versões vulneráveis do Horde3.
Podemos usar o Google para encontrar empresas que utilizam o Horde3 como ferramenta de webmail.
Veja o exemplo abaixo:
Consulta realizada no Google
intitle:"Horde"
Testando em um dos links apresentados:
![]() |
PoC - Proof of Concept
![]() |
Está vulnerabilidade foi reportada aos desenvolvedores do Horde3 desde maio de 2010 e já existe uma versão corrigida em seu repositório GIT.
Até o momento nenhuma Linux distro publicou nota sobre atualizações de segurança para está falha.