Vulnérabilité d’exécution de code à distance dans Horde Webmail

Origine: bjCSIRT

Numéro: 2022/ALERTE/022

Date de l’alerte: 07/06/2022

APERÇU :

Une vulnérabilité a été découverte dans le « Webmail Horde » et est libellée sous la référence CVE-2022-30287. Son exploitation permettrait de compromettre l’intégralité du serveur de messagerie sans aucune autre interaction de l’utilisateur, après que celui-ci ait ouvert le mail malveillant spécialement conçu et envoyé par l’attaquant.

DESCRIPTION :

Horde est un logiciel modulable et libre, utilisant PHP et destiné à l’usage en groupe de travail (groupware). L’application permet aux utilisateurs de gérer les contacts depuis l’interface web, où ils peuvent ajouter, supprimer et rechercher des contacts.

La vulnérabilité CVE-2022-30287 existe dans la configuration par défaut et affecte le service de messagerie web. Ainsi, elle permet à l’attaquant d’intercepter tous les e-mails envoyés et reçus puis d’accéder aux liens de réinitialisation de mot de passe et aux documents sensibles. L’attaquant a également la possibilité de concevoir un e-mail malveillant et inclure une image externe qui, lorsqu’elle est reconstruite, exploite la vulnérabilité CSRF (Cross-Site-Request-Forgery) sans autre interaction de la victime : l’email doit être simplement ouvert par cette dernière. Au cours de l’exploitation de la vulnérabilité, les identifiants d’authentification de la victime sont automatiquement transmis à l’attaquant.

IMPACT :

  • Prise de contrôle du serveur
  • Divulgation d’informations
  • Vol de données
  • Usurpation d’identité

SYSTEMES AFFECTÉS :

  • La version 5.2.22 et celles ultérieures.

MESURES À PRENDRE :

Aucun correctif officiel n’est disponible à ce jour de publication du bulletin. Il est néanmoins fortement recommandé d’éviter d’ouvrir des mails sans connaissance préalable de l’expéditeur et vu que Horde semble ne plus être activement maintenu, nous vous recommandons d’envisager des solutions de messagerie web alternatives.

REFERENCES :

  • https://thehackernews.com/2022/06/new-unpatched-horde-webmail-bug-lets.html
  • https://blog.sonarsource.com/horde-webmail-rce-via-email/
Partagez sur vos réseaux.