Удаленый неавторизованный доступ к email вложениям в Rockliffe MailSite Express

Дата публикации:
14.07.2003
Всего просмотров:
813
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание:

Уязвимость обнаружена в Rockliffe MailSite Express. Удаленный пользователь может просматривать email вложения.

Система хранит вложения в 'cache' каталоге, но не авторизует доступ к документам в этом каталоге. Удаленный пользователь, способный контролировать сетевой трафик, может просмотреть URL вложения. Также на сервере публично доступна статистика для всех Web страниц на сервере, т.е. удаленный пользователь может просматривать страницу статистики, чтобы получить URL, указывающие на email вложения. Пример:

http://[target]/express/cache/DC44AEECB46AE0C029E85BBD43089833/411820066/attachment

Уязвимость обнаружена в Rockliffe MailSite Express 5.3.4

Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: ZH2003-1SA (security advisory): Rockliffe Mailsite Express - mail

или введите имя

CAPTCHA