SpamTitan cross-site scripting sérülékenységek

CH azonosító

CH-6146

Angol cím

SpamTitan Multiple Cross-Site Scripting Vulnerabilities

Felfedezés dátuma

2011.12.21.

Súlyosság

Alacsony

Érintett rendszerek

Copperfasten Technologies
SpamTitan

Érintett verziók

SpamTitan 5.x

Összefoglaló

A SpamTitan több sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting (CSS/XSS) támadásokat hajthatnak végre.

Leírás

Az auth-settings.php-nak a “testaddr” és “testpass”, a setup-relay.php-nek a “hostname”, “domainname”, és “mailserver” és a setup-network.php-nek az “ipaddress”, “subnetmask”, “defaultroute” és “domain” paraméterben átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó munkamenetében az érintett oldallal kapcsolatban.

A sérülékenységeket az 5.07 verzióban jelentették. Más kiadások is érintettek lehetnek.

Megoldás

Rosszindulatú karakterláncok szűrése proxy segítségével