Vulnerabilidad en Horde Application Framework, Horde Groupware y Horde Groupware Webmail Edition (CVE-2009-4363)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
21/12/2009
Última modificación:
09/04/2025
Descripción
Text_Filter/lib/Horde/Text/Filter/Xss.php en Horde Application Framework versiones anteriores a v3.3.6, Horde Groupware versiones anteriores a v1.2.5, y Horde Groupware Webmail Edition versiones anteriores a v1.2.5 no maneja adecuadamente data: URIs, permitiendo a atacantes remotos dirigir ataques de secuencias de comandos en sitios cruzados (XSS) mediante valores data:text/html para el atributo HREF de un elemento A en un mensaje HTML de correo electrónico. NOTA: el proveedor mantiene que el incidente está causado por "una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el navegador Firefox".
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:horde:application_framework:*:*:*:*:*:*:*:* | 3.3.5 (incluyendo) | |
| cpe:2.3:a:horde:application_framework:2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:horde:application_framework:2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:horde:application_framework:2.1.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:horde:application_framework:2.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:horde:application_framework:2.2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:horde:application_framework:2.2.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:horde:application_framework:2.2.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:horde:application_framework:2.2.4_rc1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:horde:application_framework:2.2.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:horde:application_framework:2.2.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:horde:application_framework:3.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:horde:application_framework:3.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:horde:application_framework:3.0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:horde:application_framework:3.0.3:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://bugs.horde.org/ticket/8715
- http://bugs.horde.org/view.php?actionID=view_file&type=patch&file=0002-Bug-8715-Fix-XSS-vulnerability%5B1%5D.patch&ticket=8715
- http://cvs.horde.org/diff.php/horde/docs/CHANGES?r1=1.515.2.559&r2=1.515.2.589&ty=h
- http://lists.horde.org/archives/announce/2009/000529.html
- http://marc.info/?l=horde-announce&m=126100750018478&w=2
- http://marc.info/?l=horde-announce&m=126101076422179&w=2
- http://securitytracker.com/id?1023365=
- http://bugs.horde.org/ticket/8715
- http://bugs.horde.org/view.php?actionID=view_file&type=patch&file=0002-Bug-8715-Fix-XSS-vulnerability%5B1%5D.patch&ticket=8715
- http://cvs.horde.org/diff.php/horde/docs/CHANGES?r1=1.515.2.559&r2=1.515.2.589&ty=h
- http://lists.horde.org/archives/announce/2009/000529.html
- http://marc.info/?l=horde-announce&m=126100750018478&w=2
- http://marc.info/?l=horde-announce&m=126101076422179&w=2
- http://securitytracker.com/id?1023365=