Раскрытие инсталляционного пути в Magic Winmail Server
| Дата публикации: | 04.03.2004 |
| Дата изменения: | 17.10.2006 |
| Всего просмотров: | 915 |
| Опасность: | Низкая |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Раскрытие важных данных |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Winmail Server 3.x |
| Уязвимые версии: Magic Winmail Server 3.6
Описание: Уязвимость обнаружена в Magic Winmail Server. Удаленный пользователь может определить инсталляционный путь. Удаленный пользователь может сконструировать специально сформированное значение поля 'Lookup' в http://[host]:6080/netaddressbook.php, чтобы заставить сервер отобразить инсталляционный путь:
"()"
"<script>alert("test")</script>"
a x 98.000 characters
URL производителя:http://www.magicwinmail.net/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время. |
|
| Ссылки: | ldaplib.php reveal local path of Winmail server 3.6 webmail directory |