php инклюдинг и XSS в SquirrelMail

Дата публикации:
26.01.2005
Всего просмотров:
1564
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: SquirrelMail версии до 1.4.4

Описание:
Уязвимость позволяет злоумышленнику выполнить произвольные команды на уязвимой системе и произвести XSS атаку.

Некоторые переменные в сценарии 'src/webmail.php' позволяют удаленному пользователю с помощью специально сформированных параметров произвести php никлюдинг и выполнить произвольные команды на системе с привилегиями web сервера.

Удаленный пользователь может с помощью специально сформированного URL произвести XSS нападение и получить доступ к важным данным пользователей. Уязвимость существует в сценарии 'src/webmail.php'.

Отсутствие инициализации переменных в файле 'functions/prefs.php' позволяет удаленному пользователю инклюдинг и выполнение произвольных php сценариев при включенной опции register_globals в конфигурационном файле php.ini.

URL производителя: http://www.squirrelmail.org

Решение: Установите обновление
http://www.squirrelmail.org/download.php

Ссылки: SquirrelMail Input Validation Flaw in webmail.php May Let Remote Users Execute Arbitrary Commands or Conduct Cross-Site Scripting Attacks

или введите имя

CAPTCHA