Security Lab

Несколько уязвимостей в Ability Mail Server

Дата публикации:13.07.2004
Всего просмотров:1249
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Отказ в обслуживании
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Ability Mail Server 1.x
Ability Mail Server 2.x
Уязвимые версии: Ability Mail Server 1.18

Описание: Несколько уязвимостей обнаружено в Ability Mail Server. Удаленный пользователь может выполнить XSS нападение. Удаленный пользователь может вызвать условия отказа в обслуживании.

1. XSS:

 
http://127.0.0.1:8000/_error?id=[id]&errormsg=[exploit_code]

http://127.0.0.1:8000/_error?id=[id]&erro rmsg=<script>alert(document.cookie)</script>
Также сообщается, что удаленный пользователь может установить от 150 до 200 подключений к webmail службе (8000 порт), admin службе (8880 порт) и SMTP службе (25 порт), чтобы заставить сервер использовать 100% ресурсов CPU.

URL производителя:http://www.code-crafters.com/abilitymailserver/index.html

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Ability Mail server 1.18 Dos attack and Css Vulnerabilities