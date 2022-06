Horde Webmail ist verwundbar, Angreifer könnten an einer Sicherheitslücke ansetzen. Sicherheitsforscher von Sonar warnen, dass es wahrscheinlich kein Sicherheitsupdate geben wird.

In einer Warnmeldung schreiben die Entdecker der Schwachstelle (CVE-2022-30287), dass das Projekt wohl nicht mehr gepflegt wird. Sie raten Nutzern von der Software abzurücken und einen anderen Webmailer einzusetzen.

Gefährliche Schwachstelle

Der Schweregrad der Lücke wurde noch nicht eingestuft. Im Beitrag der Sicherheitsforscher liest es sich so, dass Angreifer nach erfolgreichen Attacken Schadcode auf dem zugrundeliegenden Server ausführen könnten.

So etwas ist in der Regel als „kritisch“ eingestuft. Dem Beitrag zufolge müssen Angreifer aber mindestens authentifiziert sein, um präparierte Mails verschicken zu können. In so einem Fall liegt die Einstufung „hoch“ nahe. Außerdem könnten Angreifer Anmeldeinformationen von Opfern im Klartext sehen. Dafür soll es ausreichen, wenn das Opfer die Mail öffnet. Eine weitere Interaktion sei nicht nötig.

Den Forschern zufolge sind Horde-Instanzen mit der aktuellen Version in den Standardeinstellungen attackierbar.

(des)