CH azonosító
CH-9482Angol cím
IceWarp Mail Server Cross-Site Scripting and XML External Entities VulnerabilitiesFelfedezés dátuma
2013.06.26.Súlyosság
KözepesÖsszefoglaló
Az IceWarp Mail Server több sérülékenységét jelentették, amiket kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre, illetve bizalmas információkat szerezhetnek.
Leírás
- A /webmail/calendar/index.html és a /admin/tools/svnparser.html részére átadott bemeneti adatok nem megfelelően vannak megtisztítva a felhasználónak történő visszaadás előtt. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
- A külső XML entitások feldolgozása során a /rpc/gw.html-ben keletkező hibát kihasználva helyi állományok tartalmát lehet megszerezni.
A sérülékenységeket a 10.4.5 és korábbi verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: esupport.icewarp.com
Egyéb referencia: www.sec-consult.com
SECUNIA 53830