Összefoglaló
A Kerio MailServer néhány sérülékenységét jelentették, melyet kihasználva rosszindulatú támadók cross-site scripting támadásokat indíhatnak.
Leírás
A Kerio MailServer néhány sérülékenységét jelentették, melyet kihasználva rosszindulatú támadók cross-site scripting támadásokat indíhatnak.
- A “folder” paraméterhez rendelt bevitel a mailCompose.php-ban és a “daytime” paraméterhez rendelt bevitel a calendarEdit.php-ban nincs megfelelően megtisztítva mielőtt visszakerülne a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód beszúrására, mely a felhasználó böngészőjének munkamenetében kerül végrehajtásra az érintett oldallal kapcsolatosan.
- A “sent” paraméterhez rendelt bevitel a error413.php-ban nincs megfelelőenmegtisztítva mielőtt visszakerülne a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód beszúrására, mely a felhasználó böngészőjének munkamenetében kerül végrehajtásra az érintett oldallal kapcsolatosan.
A sérülékenységeket a Windows operációs rendszereken futó 6.6.1 build 7069-ben igazolták. Más verziók is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.kerio.com
SECUNIA 32955
CVE-2008-5760 - NVD CVE-2008-5760
CVE-2008-5769 - NVD CVE-2008-5769