Security Lab

Удаленное выполнение произвольных команд в SquirrelMail

Дата публикации:26.12.2003
Всего просмотров:1444
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: SquirrelMail 1.x
Уязвимые версии: SquirrelMail

Описание: Уязвимость обнаружена в SquirrelMail. Удаленный атакующий может выполнить произвольные команды операционной системе при шифровании почтового сообщения со специально обработанным адресом в поле “to”.

Уязвимость обнаружена в переменной 'send_to_bcc' в сценарии 'gpg_encrypt.php'.Удаленный атакующий может выполнить произвольные команды операционной системы в специально обработанном поле 'To:', при нажатии на 'encrypt now'. Пример:

To: ;echo "YO, dudes. Static analysis ain't rocket science." >> /tmp/message;

URL производителя: http://www.squirrelmail.org

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Command Injection Issue in Squirrelmail