Дата публикации: | 01.10.2002 |
Всего просмотров: | 1419 |
Опасность: | Низкая |
Наличие исправления: | Да |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | Удаленная |
Воздействие: | Межсайтовый скриптинг |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | Emumail Webmail 5.x |
Описание: | EMU Webmail – Webmail приложение от EMUMAIL Inc.
В программе обнаружено 2 уязвимости:
1. При определенных обстоятельствах, можно вставить произвольный javasript код в HTML почтовое сообщение. При просмотре такого сообщения, код выполнится в контексте безопасности EmuMail сайта. Пример:
Вставляем код в поле email address в главной форме:
<script>alert(document.cookie)</script>2. Раскрытие www root директории. Пример Вставляем строку в Email форму: <script>alert(@)</script>Сервер возвратит: "Software error: /\s+)my.com)</script>\s+/: unmatched () in regexp at /home/EMU/webmail/html/emumail.cgi line 834.уязвимость обнаружена в EMUMail for Red Hat Linux 5.0, for Windows 5.0, for Unix 5.0 |