Ernstig lek in Horde Webmail maakte diefstal inboxes mogelijk

[Captain Kirk]

Een ernstig beveiligingslek in de opensourcewebmailsoftware Horde maakte het mogelijk om de inboxes van gebruikers te stelen. Om de aanval uit te voeren moest het slachtoffer wel eerst op een link van de aanvaller klikken. Vervolgens werd de inbox naar de server van de aanvaller gedownload.

Tal van organisaties maken gebruik van Horde Webmail voor het aanbieden van webmail aan hun gebruikers. In mei van dit jaar meldde onderzoeker Numan Ozdemir verschillende kwetsbaarheden in de software aan de ontwikkelaars van Horde. Op een schaal van 1 tot en met 10 wat betreft de impact was één van de kwetsbaarheden met een 8,8 beoordeeld.

Ozdemir hoorde naar eigen zeggen niets meer van de ontwikkelaars. Via de kwetsbaarheden is het echter "heel eenvoudig" om de e-mail van gebruikers te stelen, zo laat de onderzoeker aan TechCrunch weten. Hoewel de bugmelding van Ozdemir nog openstaat, zijn de kwetsbaarheden inmiddels verholpen, aldus de ontwikkelaars. Beheerders krijgen dan ook het advies om de nieuwste versie te installeren.

Een ernstig beveiligingslek in de opensourcewebmailsoftware Horde maakte het mogelijk om de inboxes van gebruikers te stelen. Om de aanval uit te voeren moest het slachtoffer wel eerst op een link van de aanvaller klikken. Vervolgens werd de inbox naar de server van de aanvaller gedownload.

Tal van organisaties maken gebruik van Horde Webmail voor het aanbieden van webmail aan hun gebruikers. In mei van dit jaar meldde onderzoeker Numan Ozdemir verschillende kwetsbaarheden in de software aan de ontwikkelaars van Horde. Op een schaal van 1 tot en met 10 wat betreft de impact was één van de kwetsbaarheden met een 8,8 beoordeeld.

Ozdemir hoorde naar eigen zeggen niets meer van de ontwikkelaars. Via de kwetsbaarheden is het echter "heel eenvoudig" om de e-mail van gebruikers te stelen, zo laat de onderzoeker aan TechCrunch weten. Hoewel de bugmelding van Ozdemir nog openstaat, zijn de kwetsbaarheden inmiddels verholpen, aldus de ontwikkelaars. Beheerders krijgen dan ook het advies om de nieuwste versie te installeren.

Een ernstig beveiligingslek in de opensourcewebmailsoftware Horde maakte het mogelijk om de inboxes van gebruikers te stelen. Om de aanval uit te voeren moest het slachtoffer wel eerst op een link van de aanvaller klikken. Vervolgens werd de inbox naar de server van de aanvaller gedownload.

Tal van organisaties maken gebruik van Horde Webmail voor het aanbieden van webmail aan hun gebruikers. In mei van dit jaar meldde onderzoeker Numan Ozdemir verschillende kwetsbaarheden in de software aan de ontwikkelaars van Horde. Op een schaal van 1 tot en met 10 wat betreft de impact was één van de kwetsbaarheden met een 8,8 beoordeeld.

Ozdemir hoorde naar eigen zeggen niets meer van de ontwikkelaars. Via de kwetsbaarheden is het echter "heel eenvoudig" om de e-mail van gebruikers te stelen, zo laat de onderzoeker aan TechCrunch weten. Hoewel de bugmelding van Ozdemir nog openstaat, zijn de kwetsbaarheden inmiddels verholpen, aldus de ontwikkelaars. Beheerders krijgen dan ook het advies om de nieuwste versie te installeren.

 

 

bron: security.nl