Atmail Email Server script beszúrásos sérülékenységek

CH azonosító

CH-6239

Angol cím

@Mail Server Multiple Script Insertion Vulnerabilities

Felfedezés dátuma

2012.01.12.

Súlyosság

Alacsony

Érintett rendszerek

Atmail
Atmail Email Server

Érintett verziók

Atmail Email Server 6.x

Összefoglaló

Az Atmail Email Server sérülékenységei váltak ismertté, amelyeket kihasználva a rosszindulatú felhasználók script beszúrásos támadásokat hajthatnak végre.

Leírás

  1. Az index.php/admin/users/create-nek vagy az index.php/admin/users/update-nek a “UserFirstName” és “UserLastName” paraméterben átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt felhasználnák.  Ez kihasználható tetszőleges HTML és script kód beszúrására, mely a felhasználó böngésző munkamenetében fog lefutni az érintett oldallal kapcsolatban, a káros tartalom megtekintésekor.
    A sérülékenység sikeres kihasználása felhasználó létrehozási és szerkesztési jogosultságot igényel.
  2. A range és index értékek nincsenek megfelelően megtisztítva, mielőtt a “log search” funkcióban felhasználnák azokat. Ez kihasználható tetszőleges HTML és script kód beszúrására, mely a felhasználó böngésző munkamenetében fog lefutni az érintett oldallal kapcsolatban, a káros tartalom megtekintésekor.

A sérülékenységeket a 6.30.4. verzióban jelentették. Más kiadások is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra