выполнение POP3 комманд в Instant Web Mail

Дата публикации:
28.03.2002
Всего просмотров:
890
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Instant Web Mail - бесплатный POP3 почтовый клиент. Программа осуществлена в PHP, и может выполняться под Windows, Linux и Unix. Функция command(), которая посылает POP3 команду POP3 серверу, позволяет вложенные символы CR И LF. Нигде в программе эти символы не удаляются в вводе пользователя перед посылкой этой функции. Это означает, что мы можем включать дополнительные POP3команды в пользовательские запросы. Нападающий может создавать связи к уязвимым сценариям, включая произвольные POP команды, и посылать электронную почту, включающую эти ссылки, пользователю системы. При нажатии на такую ссылку, команда будет выполнена. Пример: http://www.userhost.se/instantwebmail/message.php?id=1%0D%0ADELE+2& Уязвимость найдена в Instant Web Mail 0.55-0.59

Ссылки: Источник
или введите имя

CAPTCHA