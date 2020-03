Een beveiligingslek in de opensourcewebmailsoftware Horde maakte het mogelijk voor aanvallers om willekeurige code op de server uit te voeren. Tal van organisaties maken gebruik van Horde Webmail voor het aanbieden van webmail aan hun gebruikers.

De kwetsbaarheid werd veroorzaakt door de manier waarop Horde omging met het importeren van CSV-bestanden. Hierdoor was het mogelijk om willekeurige PHP-code te injecteren en zo op afstand code uit te voeren op de server waarop Horde draaide. Om de aanval uit te voeren zou een aanvaller wel eerst toegang tot de server moeten hebben, bijvoorbeeld door het webmail-account van een gebruiker te compromitteren. Wanneer gasttoegang voor een Horde-applicatie was ingeschakeld had ook een ongeauthenticeerde aanvaller de aanval kunnen uitvoeren.

Vorige maand brachten de ontwikkelaars een beveiligingsupdate uit en details over de kwetsbaarheid zijn deze week bekend geworden. De ontwikkelaars laten weten dat een oplossing voor het beveiligingslek, dat op dat moment nog onbekend was, drie jaar geleden al was doorgevoerd als onderdeel van het hardenen van de code. Een nieuwe versie van deze specifieke code werd echter nooit uitgebracht, waardoor het probleem in de software aanwezig bleef.