CH azonosító
CH-14000Angol cím
SquirrelMail vulnerabilityFelfedezés dátuma
2017.04.23.Súlyosság
MagasÉrintett rendszerek
SquirrelMailSquirrelMail Project Team
Érintett verziók
Squirrelmail 1.4.22 és régebbi verzió.
Összefoglaló
A SquirrelMail sérülékenysége vált ismertté, melyet kihasználva a támadó tetszőleges kódot futtathat a célrendszeren. A sérülékenységet kiküszöbölő megoldás nem szerezhető be a gyártótól.
Leírás
A sérülékenységet az okozza, hogy a szoftver nem megfelelően ellenőrzi a felhasználó által beküldött sztringeket, mely következtében a bejelentkezett támadó tetszőleges parancsot futtathat le a célrendszeren.
Megoldás
IsmeretlenMegoldás
Váltson “SMTP based transport” működésre, vagy telepítse a hivatkozásokban található nem hivatalos javítást.
Támadás típusa
execute arbitrary codeHatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: legalhackers.com
Egyéb referencia: seclists.org
Egyéb referencia: www.wearesegment.com
CVE:2017-7692
