Несколько уязвимостей в ShareMailPro e-mail server

Дата публикации:
23.05.2003
Всего просмотров:
625
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Уязвимость обнаружена в ShareMailPro e-mail server. Сервер раскрывает административную информацию удаленным авторизованным пользователям. Удаленный пользователь может определить существование специфической учетной записи на системе.

Удаленный авторизованный пользователь, имеющий WebConfig привилегии, может выполнить некоторые административные действия через WebConfig интерфейс на 3128 порту. Удаленный авторизованный пользователь может просмотреть Server Services Status, чтобы контролировать состояние почтового сервера и может просмотреть список всех пользователей и состояние каждого пользователя. Пример:

http://ShareMailPro's_IP:3128/status.htm

http://ShareMailPro's_IP:3128/mailbox.htm
Также сообщается, что удаленный пользователь может определить существование специфической учетной записи, посылая запрос POP3 серверу. Если пользователь не существует, сервер выдаст следующую ошибку:
ERR sorry , no such mailbox
Если существует, то
+OK check your mailbox
Уязвимость обнаружена в ShareMailPro 3.6.1

Ссылки: Vulnerability in the ShareMailPro Ver 3.6.1 Under The Pop3 Service
Information Disclosure in the ShareMailPro Ver 3.6.1 Under The WebConfig
или введите имя

CAPTCHA