Imp
Уязвимости
22
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.24055
Распределение по критичности
Критический
0
Высокий
4
Средний
16
Низкий
2
Затронутые диапазоны версий
≤ 2.2.4≤ 3.2.2≤ 4.1.3≤ 4.3.6≤ 4.3.7≤ 5.0.21≤ 5.0.23≤ 6.2.27
Также сопоставлено как (исходные строки): horde_application_framework,framework,groupware_webmail_edition,dynamic_imp,imp,horde
Топ уязвимостей
CVE-2003-0025Множественные уязвимости SQL-инъекций в IMP 2.2.8 и более ранних версиях позволяют удаленным злоумышленникам выполнять несанкционированные действия с базой данных и, возможно, получать привилегии через определенные функции базы данных, такие как check_prefs() в db.pgsql, как продемонстрировано с использованием mailbox.php3.
CVE-2002-0181Уязвимость межсайтового скриптинга в status.php3 для IMP 2.2.8 и HORDE 1.2.7 позволяет удаленным злоумышленникам выполнять произвольный веб-скрипт и похищать cookie других пользователей IMP/HORDE через параметр script.
CVE-2001-1257Уязвимость межсайтового скриптинга в Horde Internet Messaging Program (IMP) до версий 2.2.6 и 1.2.6 позволяет удаленным злоумышленникам выполнять произвольный Javascript, внедренный в электронное письмо.
CVE-2025-30349Horde IMP до версии 6.2.27, используемый с Horde Application Framework до версии 5.2.23, позволяет осуществить XSS, что приводит к захвату учетной записи через специально подготовленное текстовое/HTML электронное письмо с атрибутом onerror (который может использовать код JavaScript в формате base64), что было использовано в марте 2025 года.
CVE-2007-1474Уязвимость внедрения аргументов в сценарии cron очистки в Horde Project Horde и IMP до Horde Application Framework 3.1.4 позволяет локальным пользователям удалять произвольные файлы и, возможно, получать привилегии через несколько разделенных пробелами имен путей.
CVE-2004-0584Неизвестная уязвимость в Horde IMP 3.2.3 и более ранних версиях, до "исправления безопасности", неправильно проверяет ввод, что позволяет удаленным злоумышленникам выполнять произвольный скрипт от имени других пользователей через скрипт или HTML в сообщении электронной почты, возможно, вызывая уязвимость межсайтового скриптинга (XSS).
CVE-2007-6018IMP Webmail Client 4.1.5, Horde Application Framework 3.1.5 и Horde Groupware Webmail Edition 1.0.3 не проверяют неуказанные HTTP-запросы, что позволяет удаленным злоумышленникам (1) удалять произвольные сообщения электронной почты через измененный числовой идентификатор или (2) "очищать" удаленные электронные письма через специально созданное сообщение электронной почты.
CVE-2002-2024Horde IMP 2.2.7 позволяет удаленным злоумышленникам получить полный путь к веб-корню через HTTP-запрос для (1) poppassd.php3, (2) login.php3?reason=chpass2, (3) spelling.php3 и (4) ldap.search.php3?ldap_serv=nonsense, который раскрывает информацию в сообщениях об ошибках.
CVE-2010-0463Horde IMP 4.3.6 и более ранние версии не запрашивают у веб-браузера избегать предварительной выборки DNS для доменных имен, содержащихся в сообщениях электронной почты, что облегчает удаленным злоумышленникам определение сетевого местоположения пользователя веб-почты путем регистрации DNS-запросов.
CVE-2000-0911IMP 2.2 и более ранние версии позволяют злоумышленникам читать и удалять произвольные файлы, изменяя скрытую переменную формы attachment_name, что приводит к тому, что IMP отправляет файл злоумышленнику в качестве вложения.
CVE-2012-6640Уязвимость межсайтового скриптинга (XSS) в Horde Internet Mail Program (IMP) до версии 5.0.22, используемой в Horde Groupware Webmail Edition до версии 4.0.9, позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через специально созданное вложение SVG-изображения, что является другой уязвимостью, чем CVE-2012-5565.
CVE-2012-5565Уязвимость межсайтового скриптинга (XSS) в js/compose-dimp.js в Horde Internet Mail Program (IMP) до версии 5.0.24, используемом в Horde Groupware Webmail Edition до версии 4.0.9, позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через специально созданное имя для прикрепленного файла, связанное с динамическим представлением.
CVE-2012-0791Множественные уязвимости межсайтового скриптинга (XSS) в Horde IMP до версии 5.0.18 и Horde Groupware Webmail Edition до версии 4.0.6 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметры (1) composeCache, (2) rtemode или (3) filename_* на странице compose; параметр (4) formname во всплывающем окне контактов; или (5) имена почтовых ящиков IMAP. ПРИМЕЧАНИЕ: некоторые из этих деталей получены из информации третьих лиц.
CVE-2010-4778Множественные уязвимости межсайтового скриптинга (XSS) в fetchmailprefs.php в Horde IMP до версии 4.3.8 и Horde Groupware Webmail Edition до версии 1.2.7 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через поле (1) username (aka fmusername), (2) password (aka fmpassword) или (3) server (aka fmserver) в действии fetchmail_prefs_save, связанном с конфигурацией Fetchmail, что является проблемой, отличной от CVE-2010-3695. ПРИМЕЧАНИЕ: некоторые из этих сведений получены из информации третьих лиц.
CVE-2010-3695Уязвимость межсайтового скриптинга (XSS) в fetchmailprefs.php в Horde IMP до 4.3.8 и Horde Groupware Webmail Edition до 1.2.7 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр fm_id в действии fetchmail_prefs_save, связанном с конфигурацией Fetchmail.
CVE-2007-1515Множественные уязвимости межсайтового скриптинга (XSS) в Horde IMP H3 4.1.3 и, возможно, более ранних версиях позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через (1) заголовок Subject электронной почты в thread.php, (2) параметр edit_query в search.php или другие неуказанные параметры в search.php. ПРИМЕЧАНИЕ: некоторые из этих деталей получены из сторонней информации.
CVE-2006-4255Межсайтовый скриптинг (XSS) в horde/imp/search.php в Horde IMP H3 до 4.1.3 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через несколько неуказанных векторов, связанных с именами папок, внедренных в поле формы vfolder_label на экране поиска IMP.
CVE-2005-4080Horde IMP 4.0.4 и более ранние версии не очищают строки, содержащие нулевые символы UTF16, что позволяет удаленным злоумышленникам проводить атаки межсайтового скриптинга (XSS) через вложения и строки в кодировке UTF16, которые будут выполнены при просмотре с помощью Internet Explorer, который игнорирует эти символы.
CVE-2005-1319Уязвимость межсайтового скриптинга (XSS) в Horde IMP Webmail client до версии 3.2.8 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через заголовок страницы родительского фрейма.
CVE-2004-1443Уязвимость межсайтового скриптинга (XSS) во встроенном просмотрщике MIME в Horde-IMP (Internet Messaging Program) 3.2.4 и более ранних версиях, при использовании с Internet Explorer, позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через сообщение электронной почты.
CVE-2001-1258Horde Internet Messaging Program (IMP) до версии 2.2.6 позволяет локальным пользователям читать файлы конфигурации IMP и похищать пароль базы данных Horde, поместив на сервер файл prefs.lang, содержащий PHP-код.
CVE-2001-0744Horde IMP 2.2.4 и более ранние версии позволяют локальным пользователям перезаписывать файлы через атаку с использованием символических ссылок на временный файл.