Удаленное выполнение кода было обнаружено в Horde Groupware Webmail 5.2.22 и 5.2.17. Horde/Form/Type.php содержит уязвимый класс, который обрабатывает загрузку изображений в формах. Когда метод Horde_Form_Type_image onSubmit() вызывается при загрузке, он вызывает функции getImage() и _getUpload(), которые используют неочищенный пользовательский ввод в качестве пути для сохранения изображения. Неочищенный POST-параметр object[photo][img][file] сохраняется в PHP-переменной $upload[img][file], что позволяет злоумышленнику манипулировать $tmp_file, переданным в move_uploaded_file(), для сохранения загруженного файла. Установив параметр, например, ../usr/share/horde/static/bd.php, можно записать PHP-бэкдор внутри веб-корня. Папка назначения static/ является хорошим кандидатом для размещения бэкдора, поскольку она всегда доступна для записи в установках Horde. (Неочищенный POST-параметр, вероятно, остался незамеченным, потому что он никогда не отправляется формами, которые по умолчанию безопасно используют случайный путь.)