Удаленное выполнение произвольных команд в SquirrelMail

Дата публикации:
26.12.2003
Всего просмотров:
1228
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
SquirrelMail 1.x
Уязвимые версии: SquirrelMail

Описание: Уязвимость обнаружена в SquirrelMail. Удаленный атакующий может выполнить произвольные команды операционной системе при шифровании почтового сообщения со специально обработанным адресом в поле “to”.

Уязвимость обнаружена в переменной 'send_to_bcc' в сценарии 'gpg_encrypt.php'.Удаленный атакующий может выполнить произвольные команды операционной системы в специально обработанном поле 'To:', при нажатии на 'encrypt now'. Пример:

To: ;echo "YO, dudes. Static analysis ain't rocket science." >> /tmp/message;

URL производителя: http://www.squirrelmail.org

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Command Injection Issue in Squirrelmail

или введите имя

CAPTCHA