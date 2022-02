Een kwetsbaarheid in de webmailsoftware Horde maakt het mogelijk voor aanvallers om accounts door middel van een malafide e-mail over te nemen en in het ergste geval controle over de server te krijgen. Een beveiligingsupdate is nog niet beschikbaar, ook al werd het probleem zes maanden geleden bij de ontwikkelaars gemeld.

Tal van organisaties maken gebruik van Horde voor het aanbieden van webmail aan hun gebruikers. Daarnaast wordt Horde ook meegeleverd als onderdeel van de hostingoplossing cPanel, waarmee veel organisaties hun websites beheren.

De kwetsbaarheid werd ontdekt door securitybedrijf SonarSource en is al negen jaar lang in de code van de webmailsoftware aanwezig. Het gaat om een stored cross-site scripting-lek dat via de previewfunctie van de webmail is te misbruiken. Hiervoor zou een aanvaller een speciaal geprepareerd OpenOffice-document als bijlage moeten versturen.

Zodra Horde dit document omzet naar XHTML voor een previewweergave, kan kwaadaardige JavaScript in het document worden uitgevoerd. Daarmee kan de aanvaller toegang tot de sessie van de gebruiker krijgen en zo ontvangen en verstuurde e-mails inzien.

Horde wordt standaard geleverd met een beheerderspaneel, waarmee een beheerder willekeurige systeemcommando's op de Horde-server kan uitvoeren. Wanneer een aanvaller erin slaagt om een beheerder succesvol an te vallen, is het zo mogelijk om de webmailserver over te nemen.

Het probleem werd op 26 augustus aan Horde gerapporteerd en een aantal dagen later door het ontwikkelteam bevestigd. Een beveiligingsupdate is echter nog altijd niet beschikbaar gemaakt. SonarSource heeft nu besloten details van de kwetsbaarheid openbaar te maken, alsmede een onofficiële oplossing die beheerders kunnen nemen om hun server te beschermen. Hiervoor moet aan het bestand config/mime_drivers.php een optie voor de OpenOffice mime handler worden toegevoegd.