Vulnerability Bulletins

int(5044)

Vulnerability Bulletins

Múltiples vulnerabilidades en Horde 3
Vulnerability classification
Property	Value
Confidence level	Oficial
Impact	Obtener acceso
Dificulty	Avanzado
Required attacker level	Acceso remoto sin cuenta a un servicio estandar
System information
Property	Value
Affected manufacturer	GNU/Linux
Affected software	Horde 3
Description
Se han descubierto múltiples vulnerabilidades en Horde 3. Las vulnerabilidades se describen a continuación: - CVE-2009-3237: Se han descubierto múltples Cross-Site Scripting. Las vulnerabilidades reside en errores en el fichero "services/prefs.php". Un atacante remoto podría inyectar código HTML o script arbitrario. - CVE-2009-3701: Se han descubierto múltples Cross-Site Scripting. Un atacante remoto podría inyectar código HTML o script arbitrario mediante el parámetro "PATH_INFO" en "phpshell.php", "cmdshell.php", o "sqlshell.php" en "admin/". - CVE-2009-4363: Se ha descubierto una vulnerabilidad en "Text_Filter/lib/Horde/Text/Filter/Xss.php". Un atacante remoto podría provocar ataques de Cross-Site Scripting mediante los valores "data:text/html" para el atributo HREF de un elemente de enlace A en un mensaje de correo HTML.
Solution
Actualización de software Debian (DSA-1966-1) Debian Linux 4.0 Source http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch7.dsc http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch7.diff.gz http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3.orig.tar.gz Arquitectura independiente: http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch7_all.deb Debian (DSA-1966-1) Debian Linux 5.0 Source http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0-2+lenny2.dsc http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0-2+lenny2.diff.gz http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0.orig.tar.gz Arquitectura independiente: http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0-2+lenny2_all.deb
Standar resources
Property	Value
CVE	CVE-2009-3237 CVE-2009-3701 CVE-2009-4363
BID
Other resources
Debian Security Advisory (DSA-1966-1) http://lists.debian.org/debian-security-announce/2010/msg00001.html

Version history
Version	Comments	Date
1.0	Aviso emitido	2010-01-15
1.1	Aviso emitido por Suse (SUSE-SA:2010:004)	2010-03-01

Vulnerability Bulletins

Múltiples vulnerabilidades en Horde 3

Vulnerability classification

System information

Description

Solution

Standar resources

Other resources

Version history