php инклюдинг и XSS в SquirrelMail
| Дата публикации: | 26.01.2005 |
| Всего просмотров: | 1871 |
| Опасность: | Высокая |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Уязвимые версии: SquirrelMail версии до 1.4.4
Описание: Некоторые переменные в сценарии 'src/webmail.php' позволяют удаленному пользователю с помощью специально сформированных параметров произвести php никлюдинг и выполнить произвольные команды на системе с привилегиями web сервера. Удаленный пользователь может с помощью специально сформированного URL произвести XSS нападение и получить доступ к важным данным пользователей. Уязвимость существует в сценарии 'src/webmail.php'. Отсутствие инициализации переменных в файле 'functions/prefs.php' позволяет удаленному пользователю инклюдинг и выполнение произвольных php сценариев при включенной опции register_globals в конфигурационном файле php.ini. URL производителя: http://www.squirrelmail.org Решение: Установите обновление |
|
| Ссылки: | SquirrelMail Input Validation Flaw in webmail.php May Let Remote Users Execute Arbitrary Commands or Conduct Cross-Site Scripting Attacks |