Security Lab

Множественные уязвимости в IA WebMail Server

Дата публикации:01.03.2004
Всего просмотров:1657
Опасность:
Высокая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Отказ в обслуживании
Спуфинг атака
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: IA WebMail Server 3.x
Уязвимые версии: IA WebMail Server 3.1

Описание: Несколько уязвимостей обнаружено в IA WebMail Server. Злонамеренный пользователь может вызвать отказ в обслуживании, выполнить XSS нападение, подделать отправителя или скомпрометировать уязвимую систему.

1. Переполнение буфера обнаружено в обработке имени пользователя. В результате удаленный пользователь может представить специально обработанное имя пользователя (около 980 байт), чтобы вызвать переполнение буфера и выполнить произвольный код на уязвимой системе.

2. Удаленный пользователь может представить специально обработанный некорректный запрос к "view" и "edit_contact" разделам, чтобы аварийно завершить работу Webmail процесса.

3. Межсайтовый скриптинг обнаружен в параметрах the "msgid", "NumMesg", и "contact_name" в разделах "view" и "edit_contact".

4. Злонамеренный пользователь может выступить в качестве другого пользователя, посылая email сообщение, манипулируя параметром "from" в разделе "send".

Пример/Эксплоит: См. источник сообщения.

URL производителя:http://www.tnsoft.com

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время. Используйте альтернативное программное обеспечение.

Ссылки: IA Webmail server 2.1 Multiple vulnerabilities