Security Lab

Уязвимость в почтовой системе yandex.ru

Дата публикации:31.07.2003
Всего просмотров:2387
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимость обнаружена в Web mail интерфейсе почтовой системы yandex.ru. Удаленный пользователь может послать злонамеренное почтовое сообщение, которое выполнит произвольный код сценария прямо из списка писем, не открывая "злое" письмо.

Для проверки системы на уязвимость, отправьте почтовое сообщение со следующим адресом отправителя (внимание, поддерживают не все почтовые клиенты!):

" style=background-image:url(javascript:alert('I_can_breathe:)')) "@test.ru
Об уязвимости было сообщено на support@mail.yandex.ru неделю назад, но она до сих пор не устранена.

Уязвимость обнаружил Alexey Belousov (alex at vibe dot ru)