Atmail Email Server script beszúrásos sérülékenységek

2012. január 16. 08:42

CH azonosító

CH-6239

Angol cím

@Mail Server Multiple Script Insertion Vulnerabilities

Felfedezés dátuma

2012.01.12.

Súlyosság

Alacsony

Érintett rendszerek

Atmail
Atmail Email Server

Érintett verziók

Atmail Email Server 6.x

Összefoglaló

Az Atmail Email Server sérülékenységei váltak ismertté, amelyeket kihasználva a rosszindulatú felhasználók script beszúrásos támadásokat hajthatnak végre.

Leírás

Az index.php/admin/users/create-nek vagy az index.php/admin/users/update-nek a “UserFirstName” és “UserLastName” paraméterben átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt felhasználnák. Ez kihasználható tetszőleges HTML és script kód beszúrására, mely a felhasználó böngésző munkamenetében fog lefutni az érintett oldallal kapcsolatban, a káros tartalom megtekintésekor.
A sérülékenység sikeres kihasználása felhasználó létrehozási és szerkesztési jogosultságot igényel.
A range és index értékek nincsenek megfelelően megtisztítva, mielőtt a “log search” funkcióban felhasználnák azokat. Ez kihasználható tetszőleges HTML és script kód beszúrására, mely a felhasználó böngésző munkamenetében fog lefutni az érintett oldallal kapcsolatban, a káros tartalom megtekintésekor.

A sérülékenységeket a 6.30.4. verzióban jelentették. Más kiadások is érintettek lehetnek.

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2014-4078 – Microsoft Exchange szerver sérülékenység

CVE-2025-6170 – Red Hat sebezhetősége

CVE-2025-6021 – Red Hat sebezhetősége

CVE-2025-49796 – Red Hat sebezhetősége

CVE-2025-5777 – Citrix NetScaler sebezhetősége

CVE-2025-49825 – Teleport sebezhetősége

CVE-2025-4322 – WordPress sérülékenység

CVE-2025-37091 – HPE StoreOnce Remote Code Execution sebezhetősége

CVE-2025-37093 – HPE StoreOnce Authentication Bypass sebezhetősége

Tovább a sérülékenységekhez »

Atmail Email Server script beszúrásos sérülékenységek