Möglicher E-Mail-Klau mit SquirrelMail
Über spezielle URLs könnte ein Angreifer Zugriff auf das Webmail-Frontend SquirrelMail erlangen.
Die Entwickler Webmail-Frontends SquirrelMail warnen vor mehreren Cross-Site-Scripting-Lücken in den Versionen 1.4.0 bis 1.4.4. Da sich diese über manipulierte URLs ausnutzen lassen, könnte ein Angreifer diese in E-Mails einbauen und an potenzielle Opfer senden.
Klickt ein Anwender auf solch eine manipulierte URL, kann der Angreifer dessen Session übernehmen und erhält somit Zugriff auf das E-Mail-Konto. Als Workaround stellen die Entwickler derzeit einen Quellcode-Patch bereit; eine aktualisierte Version 1.4.5, die das Problem behebt, soll in spätestens zwei Wochen erscheinen.
Siehe dazu auch:
- Security Advisory von SquirrelMail
- Cross-Site-Scripting: Datenklau über Bande, Artikel auf heise Security
(ju)