La vulnérabilité XSS zero-day dans le client de messagerie Web Horde peut être déclenchée par la fonction de prévisualisation de fichier

Une vulnérabilité de script intersite (XSS) de jour zéro dans le client de messagerie Web Horde pourrait permettre à un attaquant de voler les e-mails d’une victime et d’infiltrer son réseau, avertissent les chercheurs.

Le client de messagerie Web Horde est un service de messagerie open source du projet Horde.

Chercheurs de SonarSource révélé dans un article de blog le 23 février que le client est vulnérable à une vulnérabilité XSS stockée qui n’a pas encore été corrigée.

Le XSS stocké est déclenché par le processus de rendu d’un fichier OpenOffice dans un format visible.

Un document OpenOffice est un fichier ZIP contenant des documents XML et d’autres fichiers.

Lorsqu’il est demandé à Horde de convertir un document OpenOffice en HTML à prévisualiser, il utilise XSLT (eXtensible Stylesheet Language Transformations).

Les chercheurs ont noté que ce document converti est renvoyé à l’utilisateur sans aucune désinfection.

« Cela signifie que si un attaquant pouvait créer un document OpenOffice qui conduit à l’injection de JavaScript dans le XHTML résultant, alors une vulnérabilité XSS se produit », a écrit Simon Scannell, l’auteur du billet de blog.

Scannell a ajouté : « La charge utile XSS se déclenche et donne à un attaquant un accès complet à sa session. Cela signifie que l’attaquant peut voler tous les e-mails et, dans le pire des cas, même exécuter des commandes système arbitraires si la victime a le rôle d’administrateur.

Impacter

La faille de sécurité peut donner à un attaquant un accès à toutes les informations qu’une victime a stockées dans son compte de messagerie et pourrait lui permettre d’accéder davantage aux services internes d’une organisation.

SonarSource a déclaré avoir signalé le problème au projet Horde en août 2021 mais n’a pas reçu de réponse.

La société a rendu public ses conclusions cette semaine malgré l’absence de correctif disponible et a conseillé aux utilisateurs d’appliquer des mesures d’atténuation alternatives.

« Cela peut être fait facilement en désactivant la fonctionnalité concernée, ce qui n’a pas un grand impact sur la convivialité du logiciel », a déclaré Scannell.

Les utilisateurs pourront toujours télécharger les documents OpenOffice et les afficher localement, mais Horde n’essaiera pas de les rendre dans le navigateur.

« En publiant les détails de la vulnérabilité et des correctifs, nous espérons augmenter la visibilité et permettre aux administrateurs de sécuriser leurs serveurs », a ajouté Scannell.

La gorgée quotidienne a contacté le projet Horde pour obtenir des commentaires, mais n’a pas eu de réponse.