Angreifer könnten auf Server mit dem Framework Horde für Emails zugreifen und im schlimmsten Fall auch eigenen Code ausführen. Das dürfte das Ende von Horde Webmail bedeuten.
Horde Webmail ist jetzt verwundbar, potentielle Angreifer könnten an einer Sicherheitslücke ansetzen. Die Sicherheitsforscher von Sonar warnen und weisen darauf hin, dass es vermutlich kein Sicherheitsupdate mehr geben wird.
In ihrer Warnmeldung schreiben die Entdecker der Schwachstelle (CVE-2022-30287), dass das Projekt wohl inzwischen nicht mehr gepflegt wird. Sie raten den Benutzern deshalb dringend, diese Software nicht mehr zu nutzen und stattdessen einen anderen Webmailer einzusetzen.
Die Schwachstelle ist gefährlich
Der Schweregrad der Lücke wurde bisher noch nicht eingestuft. Im Beitrag der Sicherheitsforscher liest es sich aber so, dass Angreifer nach erfolgreichen Attacken sogar Schadcode auf dem zugrundeliegenden Server ausführen könnten.
Derartige Schwachstellen werden in der Regel als „kritisch“ eingestuft. Dem Beitrag nach müssen Angreifer aber zumindest authentifiziert sein, um präparierte Mails verschicken zu können – deshalb passt die Einstufung „hoch“ wohl am besten.
Außerdem könnten Angreifer die Anmeldeinformationen von Opfern im Klartext sehen. Es reicht dafür aus, wenn ein Opfer seine Mail öffnet – eine weitergehende Interaktion sei dafür nicht nötig.
Laut den Forschern sind Horde-Instanzen mit der aktuellen Version der Software in den Standardeinstellungen angreifbar.