CH azonosító
CH-6235Angol cím
MailEnable Products "Username" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2012.01.12.Súlyosság
AlacsonyÉrintett rendszerek
MailEnableMailEnable Enterprise
MailEnable Premium
MailEnable Professional
Érintett verziók
MailEnable Enterprise Edition 4.x, 5.x, 6.x
MailEnable Premium Edition 4.x, 5.x, 6.x
MailEnable Professional Edition 4.x, 5.x, 6.x
Összefoglaló
A MailEnable termékek sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting (CSS/XSS) támadásokat hajthatnak végre.
Leírás
A ForgottenPassword.aspx-nek a “Username” paraméteren keresztül átadott bemeneti adat nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan.
A sérülékenység a 4.26 és korábbi, az 5.52 és korábbi valamint a 6.0.2 és korábbi verziókat érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.nerv.fi
Gyártói referencia: www.mailenable.com
SECUNIA 47562
SECUNIA 47518
