Несколько уязвимостей в FormMail
| Дата публикации: | 28.01.2002 |
| Всего просмотров: | 1306 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | FormMail - Web-основанный почтовый шлюз, который может посылать сообщения по электронной почте указанному пользователю через форму. Инструмент написан в Perl и работает на большинстве Linux и Unix вариантах, в дополнение к операционным системам Microsoft Windows. Найдено 2 уязвимости:
1. FormMail полагается на заголовок HTTP_REFERER, чтобы идентифицировать пользователя. Подделанный HTTP_REFERERS может обходить меры, используемые FormMail для проверки подлинности пользователя. 2. Обнаруженная уязвимость позволяет удаленному нападающему посылать анонимные электронные сообщения произвольным получателям. Уязвимость связанна с недостаточной проверкой правильности электронной почты и реальных CGI переменных. Уязвимость позволяет обманывать основную программу, создавая дополнительные SMTP заголовки, типа CC:, BCC, или дополнительные TO:. Уязвимость найдена в Matt Wright FormMail 1.0-1.9 |
| Ссылки: | Источник |
|
|
http://www.worldwidemart.com/scripts/formmail.shtml |