Дата публикации: | 20.06.2003 |
Всего просмотров: | 939 |
Опасность: | |
Наличие исправления: | |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | |
Воздействие: | |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | |
Описание: | Несколько уязвимостей обнаружено в Mailtraq server. Удаленный пользователь может просматривать файлы на системе, расположенные вне web директории. Удаленный пользователь может выполнить DoS нападение. Локальный пользователь может получить и декодировать пароли. Удаленный пользователь может выполнить XSS нападение.
Сообщается, что удаленный пользователь может просматривать файлы на системе, используя следующий URL: http://[target]/Program%20Files/ Также сообщается, что программа хранит пароли, используя слабый алгоритм шифрования. Локальный пользователь может получить пароли, сохраненные в каталоге 'C:\Program Files\Mailtraq\database\conguration' или в каталоге целевого пользователя, и затем декодировать пароли. Эксплоит прилагается. Также сообщается, что удаленный пользователь может послать специально сформированную строку с MAIL FROM, RCPT TO, HELO или FROM SMTP командами, чтобы заставить сервер потреблять 100% ресурсов CPU, если целевой администратор просматривает журнал регистрации событий. Также сообщается, что удаленный пользователь может послать длинное имя пользователя и/или пароль к опознавательному CGI сценарию, чтобы заставить сервер использовать чрезмерное количество ресурсов CPU в течение непродолжительного промежутка времени. Также сообщается, что сервер не фильтрует HTML код в поле 'Subject' почтового сообщения. Уязвимость обнаружена в Mailtraq Mail Server 2.1.0.1302 Для устранения уязвимости, установите обновленную версию программы (2.3.2.1419). |
Ссылки: |
Multiple Vulnerabilities Found in Mailtraq (DoS, Password Decryption, Directory Traversal) Эксплоит |