Vulnérabilité d’exécution de code à distance dans Horde Webmail

Horde est un logiciel modulable et libre, utilisant PHP et destiné à l’usage en groupe de travail (groupware). L’application permet aux utilisateurs de gérer les contacts depuis l’interface web, où ils peuvent ajouter, supprimer et rechercher des contacts.

Une vulnérabilité a été découverte dans le « Webmail Horde » et est libellée sous la référence CVE-2022-30287. La vulnérabilité existe dans la configuration par défaut et affecte le service de messagerie web. Ainsi, elle permet à l’attaquant d’intercepter tous les e-mails envoyés et reçus puis d’accéder aux liens de réinitialisation de mot de passe et aux documents sensibles. L’attaquant a également la possibilité de concevoir un e-mail malveillant et inclure une image externe qui, lorsqu’elle est reconstruite, exploite la vulnérabilité CSRF (Cross-Site-Request-Forgery) sans autre interaction de la victime : l’email doit être simplement ouvert par cette dernière. Au cours de l’exploitation de la vulnérabilité, les identifiants d’authentification de la victime sont automatiquement transmis à l’attaquant.

RISQUES

  • Prise de contrôle du serveur
  • Divulgation d’informations
  • Vol de données
  • Usurpation d’identité

SYSTÈMES AFFECTÉS

  • Version 5.2.22 et celles ultérieures

MESURES À PRENDRE

Aucun correctif officiel n’est disponible à ce jour de publication du bulletin. Il est néanmoins fortement recommandé d’éviter d’ouvrir des mails sans connaissance préalable de l’expéditeur et vu que Horde semble ne plus être activement maintenu, nous vous recommandons d’envisager des solutions de messagerie web alternatives.

Sources