Удаленное выполнение произвольных команд в SquirrelMail
| Дата публикации: | 26.12.2003 |
| Всего просмотров: | 1558 |
| Опасность: | Средняя |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | SquirrelMail 1.x |
| Уязвимые версии: SquirrelMail
Описание: Уязвимость обнаружена в SquirrelMail. Удаленный атакующий может выполнить произвольные команды операционной системе при шифровании почтового сообщения со специально обработанным адресом в поле “to”. Уязвимость обнаружена в переменной 'send_to_bcc' в сценарии 'gpg_encrypt.php'.Удаленный атакующий может выполнить произвольные команды операционной системы в специально обработанном поле 'To:', при нажатии на 'encrypt now'. Пример: To: ;echo "YO, dudes. Static analysis ain't rocket science." >> /tmp/message; URL производителя: http://www.squirrelmail.org Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время. |
|
| Ссылки: | Command Injection Issue in Squirrelmail |