Horde Groupware Webmail Editionおよびその他の製品で使用されるGollemは、ブラウザ機能のHTTP GET dirパラメーターを介した折り返し型クロスサイトスクリプティング（XSS）の脆弱性の影響を受け、ブレッドクラム出力に影響を与えていました。攻撃者が悪意のあるURLにアクセスさせることで、被害者のWebメールアカウントへのアクセス権を取得する可能性があります。

Debian 8「Jessie」では、この問題はバージョン3.0.3-2+deb8u1で修正されました。

お使いのphp-horde-gollemパッケージをアップグレードすることを推奨します。

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

検出

Debian DLA-2229-1: php-horde-gollemセキュリティ更新

medium Nessus プラグイン ID 136985

バージョン 1.5