Atmail Email Server script beszúrásos sérülékenységek


2012. január 16. 08:42

CH azonosító

CH-6239

Angol cím

@Mail Server Multiple Script Insertion Vulnerabilities

Felfedezés dátuma

2012.01.12.

Súlyosság

Alacsony

Érintett rendszerek

Atmail
Atmail Email Server

Érintett verziók

Atmail Email Server 6.x

Összefoglaló

Az Atmail Email Server sérülékenységei váltak ismertté, amelyeket kihasználva a rosszindulatú felhasználók script beszúrásos támadásokat hajthatnak végre.

Leírás

  1. Az index.php/admin/users/create-nek vagy az index.php/admin/users/update-nek a “UserFirstName” és “UserLastName” paraméterben átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt felhasználnák.  Ez kihasználható tetszőleges HTML és script kód beszúrására, mely a felhasználó böngésző munkamenetében fog lefutni az érintett oldallal kapcsolatban, a káros tartalom megtekintésekor.
    A sérülékenység sikeres kihasználása felhasználó létrehozási és szerkesztési jogosultságot igényel.
  2. A range és index értékek nincsenek megfelelően megtisztítva, mielőtt a “log search” funkcióban felhasználnák azokat. Ez kihasználható tetszőleges HTML és script kód beszúrására, mely a felhasználó böngésző munkamenetében fog lefutni az érintett oldallal kapcsolatban, a káros tartalom megtekintésekor.

A sérülékenységeket a 6.30.4. verzióban jelentették. Más kiadások is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: atmail.com
Egyéb referencia: www.vulnerability-lab.com
SECUNIA 47440