開源 Horde Webmail 客戶端中披露了一個新的未修補安全漏洞,隻需向受害者發送特制電子郵件,即可利用該漏洞在電子郵件服務器上實現遠程代碼執行。
“一旦查看了電子郵件,攻擊者就可以靜默接管整個郵件服務器,而無需任何進一步的用戶交互,”SonarSource 在與黑客新聞分享的一份報告中說。“該漏洞存在于默認配置中,可以在不知道目标部落實例的情況下被利用。”
該問題已被分配 CVE 标識符CVE-2022-30287,已于 2022 年 2 月 2 日向供應商報告。部落項目的維護者沒有立即回複有關未解決漏洞的評論請求。
從本質上講,該問題使得經過身份驗證的 Horde 實例用戶可以利用客戶端處理聯系人列表的方式在底層服務器上運行惡意代碼。
然後可以将其與跨站點請求僞造 ( CSRF ) 攻擊結合使用,以遠程觸發代碼執行。
CSRF,也稱為會話騎行,發生在 Web 浏覽器被誘騙在用戶登錄的應用程序中執行惡意操作時。它利用 Web 應用程序對經過身份驗證的用戶的信任。
“因此,攻擊者可以制作惡意電子郵件并包含一個外部圖像,該圖像在呈現時利用 CSRF 漏洞而無需受害者進一步交互:唯一的要求是讓受害者打開惡意電子郵件。”
該披露是在該軟件中另一個存在9 年之久的錯誤曝光後的三個多月,這可能允許攻擊者通過預覽附件獲得對電子郵件帳戶的完全訪問權限。自 2022 年 3 月 2 日起,此問題已得到解決。
鑒于自 2017 年以來 Horde Webmail 不再積極維護,并且生産力套件中報告了數十個安全漏洞,建議用戶切換到替代服務。
研究人員說:“由于網絡郵件服務器受到如此多的信任,它們自然會成為攻擊者非常感興趣的目标。”
“如果一個老練的對手可以攻破網絡郵件服務器,他們可以攔截每封發送和接收的電子郵件,訪問密碼重置鍊接、敏感文檔、冒充人員,并竊取用戶登錄網絡郵件服務的所有憑據。”
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
