Security Lab

Межсайтовый скриптинг в Open WebMail

Дата публикации:15.02.2005
Дата изменения:17.10.2006
Всего просмотров:1117
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Open WebMail 2.x
Уязвимые версии: Open WebMail версии до 20050212

Описание:
Уязвимость позволяет злоумышленнику произвести XSS нападение и получить доступ к важным данным пользователей.

Уязвимость существует из-за некорректно обработки данных в параметре logindomain. Локальный пользователь может создать специально сформированный URL и выполнить произвольный HTML сценарий в браузере жертвы.

URL производителя: http://www.openwebmail.org

Решение: Установите последнюю версию с сайта производителя.

http://openwebmail.org/openwebmail/download/cert/patches/SA- 05:01/
http://turtle.ee.ncku.edu.tw/openwebmail/download/cert/patches/SA-05:01/
Ссылки: Open WebMail Input Validation Flaw in 'logindomain' Lets Remote Users Conduct Cross-Site Scripting Attacks