Security Lab

Выполнение произвольных команд в Pine

Дата публикации:10.01.2002
Всего просмотров:859
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Pine - свободно доступный клиент электронной почты.

Обнаруженная проблема в Pine, позволяет выполнять произвольные команды. Проблема находится в обработке URL с переменными окружающей среды. Электронное письмо, посланное пользователю с кодируемой переменной среды и командой в URL, может использоваться, чтобы выполнить команду с привилегиями пользователя, получающего почту. Уязвимость присутствует только в Email клиентах, у которых сконфигурирован “URL handler”.

Уязвимость найдена в University of Washington Pine 4.20-4.33