Security Lab

SQL инъекция в сценарии 'abook_database.php' в SquirrelMail

Дата публикации:04.08.2004
Всего просмотров:2097
Опасность:
Средняя
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: SquirrelMail 1.4.2 и более ранние версии

Описание: Уязвимость в SquirrelMail позволяет удаленному пользователю выполнить SQL выражения на целевой системе.

Когда SquirrelMail хранит адресную книгу в базе данных, удаленный пользователь может выполнить произвольный SQL код, эксплуатируя уязвимость в 'abook_database.php' в переменной $alias.

URL производителя: http://www.squirrelmail.org

Решение:Установите обновленную версию программы (1.4.3 RC1): http://www.squirrelmail.org/download.php

Ссылки: CVS: squirrelmail/functions abook_database.php,1.15.2.1,1.15.2.2