Раскрытие пути и межсайтовый скриптинг в Horde IMP

Дата публикации:
09.04.2002
Всего просмотров:
899
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Horde IMP – система управления почтовыми сообщениями через Web интерфейс. Найдено 2 уязвимости:

1. Межсайтовый скриптинг:
Сценарий status.php3 не в состоянии фильтровать HMTL тэги.
Пример: status.php3?script=<SCRIPT+LANGUAGE="JavaScript">alert("Hello Worlds")</script>

2. Раскрытие реального пути к Web директории:
Запрос к следующим сценариям приведет к ошибке, которая содержит реальный путь к Web директории:
/poppassd.php3
/login.php3?reason=chpass2
/spelling.php3
/ldap.search.php3?ldap_serv=nonsense

Уязвимость найдена в Horde IMP 2.2.7

или введите имя

CAPTCHA