Множественные уязвимости в IA WebMail Server
| Дата публикации: | 01.03.2004 |
| Всего просмотров: | 1736 |
| Опасность: | Высокая |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Отказ в обслуживании Спуфинг атака Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | IA WebMail Server 3.x |
| Уязвимые версии: IA WebMail Server 3.1
Описание: Несколько уязвимостей обнаружено в IA WebMail Server. Злонамеренный пользователь может вызвать отказ в обслуживании, выполнить XSS нападение, подделать отправителя или скомпрометировать уязвимую систему. 1. Переполнение буфера обнаружено в обработке имени пользователя. В результате удаленный пользователь может представить специально обработанное имя пользователя (около 980 байт), чтобы вызвать переполнение буфера и выполнить произвольный код на уязвимой системе. 2. Удаленный пользователь может представить специально обработанный некорректный запрос к "view" и "edit_contact" разделам, чтобы аварийно завершить работу Webmail процесса. 3. Межсайтовый скриптинг обнаружен в параметрах the "msgid", "NumMesg", и "contact_name" в разделах "view" и "edit_contact". 4. Злонамеренный пользователь может выступить в качестве другого пользователя, посылая email сообщение, манипулируя параметром "from" в разделе "send". Пример/Эксплоит: См. источник сообщения. URL производителя:http://www.tnsoft.com Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время. Используйте альтернативное программное обеспечение. |
|
| Ссылки: | IA Webmail server 2.1 Multiple vulnerabilities |