Межсайтовый скриптинг и раскрытие информации в EMU Webmail

Дата публикации:
01.10.2002
Всего просмотров:
1116
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Emumail Webmail 5.x
Описание: EMU Webmail – Webmail приложение от EMUMAIL Inc. В программе обнаружено 2 уязвимости: 1. При определенных обстоятельствах, можно вставить произвольный javasript код в HTML почтовое сообщение. При просмотре такого сообщения, код выполнится в контексте безопасности EmuMail сайта. Пример: Вставляем код в поле email address в главной форме:
<script>alert(document.cookie)</script>
2. Раскрытие www root директории. Пример Вставляем строку в Email форму:
<script>alert(@)</script>
Сервер возвратит:
"Software error: 
/\s+)my.com)</script>\s+/: unmatched () in regexp at /home/EMU/webmail/html/emumail.cgi line 834.
уязвимость обнаружена в EMUMail for Red Hat Linux 5.0, for Windows 5.0, for Unix 5.0
или введите имя

CAPTCHA