CH azonosító
CH-4406Angol cím
Mailman "Full Name" Script Insertion VulnerabilitiesFelfedezés dátuma
2011.02.20.Súlyosság
AlacsonyÖsszefoglaló
A Mailman több olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú felhasználók script beszúrásos (script injection) támadásokat hajthatnak végre.
Leírás
A “full name” paraméterrel átadott bemenet nincs megfelelően ellenőrizve mielőtt a “Confirm unsubscription request”, “Confirm change of email address request” és “Re-enable mailing list membership” lapokon használnák. Ez kihasználható tetszőleges HTML és script kód futtatására, amely a felhasználó böngészőjében fut le egy érintett oldallal kapcsolatosan a kártékony adatok megtekintésekor.
A sérülékenységet a 2.1.14. és korábbi verziókban jelentették.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: mail.python.org
CVE-2011-0707 - NVD CVE-2011-0707
SECUNIA 43389