Раскрытие исходного кода сценариев и межсайтовый скриптинг в Mailtraq E-mail Server

Дата публикации:
09.06.2003
Всего просмотров:
781
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Несколько уязвимостей обнаружено в Mailtraq e-mail сервере. Удаленный пользователь может просмотреть исходный код ASP страниц, определить инсталляционный путь и выполнять XSS нападение.

Удаленный пользователь может добавить символ ('.') к запросу ASP страницы, чтобы просмотреть исходный код ASP страницы. Пример:

http://[target]/browse.asp.
Удаленный авторизованный пользователь с WebMail привилегиями, может определить инсталляционный путь, запрашивая следующий URL:
http://[target]/browse.asp*
также сообщается, что сценарий 'browse.asp' отображает данные, представленные пользователем, без фильтрации HTML кода. Уязвимость может использоваться для кражи опознавательных данных, хранящихся в куки пользователя. Пример:
http://[target]/browse.asp?cfolder=<script>alert(document.cookie)</script>

http://[target]/browse.asp?<script>alert(document.cookie)</script>
Уязвимость обнаружена в Mailtraq E-mail Server 2.3.0.1413

Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Vulnerability in The Mailtraq Server

или введите имя

CAPTCHA