CH azonosító
CH-6239Angol cím
@Mail Server Multiple Script Insertion VulnerabilitiesFelfedezés dátuma
2012.01.12.Súlyosság
AlacsonyÖsszefoglaló
Az Atmail Email Server sérülékenységei váltak ismertté, amelyeket kihasználva a rosszindulatú felhasználók script beszúrásos támadásokat hajthatnak végre.
Leírás
- Az index.php/admin/users/create-nek vagy az index.php/admin/users/update-nek a “UserFirstName” és “UserLastName” paraméterben átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt felhasználnák. Ez kihasználható tetszőleges HTML és script kód beszúrására, mely a felhasználó böngésző munkamenetében fog lefutni az érintett oldallal kapcsolatban, a káros tartalom megtekintésekor.
A sérülékenység sikeres kihasználása felhasználó létrehozási és szerkesztési jogosultságot igényel. - A range és index értékek nincsenek megfelelően megtisztítva, mielőtt a “log search” funkcióban felhasználnák azokat. Ez kihasználható tetszőleges HTML és script kód beszúrására, mely a felhasználó böngésző munkamenetében fog lefutni az érintett oldallal kapcsolatban, a káros tartalom megtekintésekor.
A sérülékenységeket a 6.30.4. verzióban jelentették. Más kiadások is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: atmail.com
Egyéb referencia: www.vulnerability-lab.com
SECUNIA 47440
