SquirrelMail Virtual Keyboard modul "passformname" cross-site scripting sérülékenység

SquirrelMail Virtual Keyboard modul “passformname” cross-site scripting sérülékenység

2010. október 11. 08:01

CH azonosító

CH-3744

Angol cím

SquirrelMail Virtual Keyboard Plugin "passformname" Cross-Site Scripting

Felfedezés dátuma

2010.10.09.

Súlyosság

Alacsony

Érintett rendszerek

SquirrelMail
SquirrelMail Project Team
Virtual Keyboard (plugin for SquirrelMail)

Érintett verziók

Virtual Keyboard 1.x (SquirrelMail modul)

Összefoglaló

A SquirrelMail Virtual Keyboard moduljának egy olyan sérülékenységét fedezték fel, amelyet a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások indítására.

Leírás

A plugins/vkeyboard/vkeyboard.php “passformname” paraméterének átadott bemeneti adat nincs megfelelően megtisztítva, a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.

A sérülékenységet a 0.9.1 verzióban igazolták. Más verziók is érintettek lehetnek.

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-37091 – HPE StoreOnce Remote Code Execution sebezhetősége

CVE-2025-37093 – HPE StoreOnce Authentication Bypass sebezhetősége

CVE-2025-20271 – Cisco AnyConnect VPN sérülékenység

CVE-2025-43200 – Apple Multiple Products Unspecified sérülékenysége

CVE-2023-0386 – Linux Kernel Improper Ownership Management sebezhetősége

CVE-2023-33538 – TP-Link Multiple Routers Command Injection sérülékenysége

CVE-2025-3464 – Asus Armoury Crate AsIO3.sys authorization bypass sérülékenysége

CVE-2025-4123 – Grafana cross-site scripting (XSS) sebezhetősége

CVE-2025-33073 – Windows SMB Client Elevation of Privilege sérülékenysége

Tovább a sérülékenységekhez »

SquirrelMail Virtual Keyboard modul “passformname” cross-site scripting sérülékenység