Atmail Email Server script beszúrásos sérülékenységek

CH azonosító

CH-6239

Angol cím

@Mail Server Multiple Script Insertion Vulnerabilities

Felfedezés dátuma

2012.01.12.

Súlyosság

Alacsony

Érintett rendszerek

Atmail
Atmail Email Server

Érintett verziók

Atmail Email Server 6.x

Összefoglaló

Az Atmail Email Server sérülékenységei váltak ismertté, amelyeket kihasználva a rosszindulatú felhasználók script beszúrásos támadásokat hajthatnak végre.

Leírás

  1. Az index.php/admin/users/create-nek vagy az index.php/admin/users/update-nek a “UserFirstName” és “UserLastName” paraméterben átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt felhasználnák.  Ez kihasználható tetszőleges HTML és script kód beszúrására, mely a felhasználó böngésző munkamenetében fog lefutni az érintett oldallal kapcsolatban, a káros tartalom megtekintésekor.
    A sérülékenység sikeres kihasználása felhasználó létrehozási és szerkesztési jogosultságot igényel.
  2. A range és index értékek nincsenek megfelelően megtisztítva, mielőtt a “log search” funkcióban felhasználnák azokat. Ez kihasználható tetszőleges HTML és script kód beszúrására, mely a felhasználó böngésző munkamenetében fog lefutni az érintett oldallal kapcsolatban, a káros tartalom megtekintésekor.

A sérülékenységeket a 6.30.4. verzióban jelentették. Más kiadások is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2023-25859 – Adobe Illustrator sérülékenysége
CVE-2023-25860 – Adobe Illustrator sérülékenysége
CVE-2023-25861 – Adobe Illustrator sérülékenysége
CVE-2023-26358 – Adobe Creative Cloud sérülékenysége
CVE-2023-26426 – Adobe Illustrator sérülékenysége
CVE-2023-27855 – Rockwell Automation's ThinManager ThinServer sérülékenysége
CVE-2023-1256 – aveva / telemetry server, aveva / aveva plant scada sérülékenysége
CVE-2023-28100 – Flatpak sérülékenysége
CVE-2022-38063 – social login wp project / social login wp sérülékenysége
CVE-2023-25280 – dlink / dir820la1 firmware sérülékenysége
Tovább a sérülékenységekhez »