パッチが適用されていない新しいHordeWebメールのバグにより、ハッカーは電子メールを送信してサーバーを乗っ取ることができます from thehackernews.com
security summary
この脆弱性を悪用して、特別に細工した電子メールを被害者に送信するだけで、電子メールサーバーでリモートコードが実行される可能性があります。
この問題の核心は、Hordeインスタンスの認証されたユーザーが、クライアントが連絡先リストを処理する方法の癖を利用して、基盤となるサーバー上で悪意のあるコードを実行することを可能にします。
CSRFは、認証されたユーザーに対するWebアプリケーションの信頼を悪用します。
「その結果、攻撃者は悪意のある電子メールを作成し、レンダリング時に被害者との対話なしにCSRFの脆弱性を悪用する外部画像を含めることができます。唯一の要件は、被害者に悪意のある電子メールを開かせることです。」
この開示は、ソフトウェアの別の9年前のバグが明らかになってから、3か月強で行われ、攻撃者は添付ファイルをプレビューすることで電子メールアカウントに完全にアクセスできるようになる可能性があります。
コメント