漏洞信息详情
Instant Web Mail POP命令执行漏洞
- CNNVD编号:CNNVD-200208-215
- 危害等级: 超危
- CVE编号: CVE-2002-0490
- 漏洞类型: 未知
- 发布时间: 2002-03-23
- 威胁类型: 远程
- 更新时间: 2005-05-02
- 厂 商: instant_web_mail
- 漏洞来源: Ulf Harnhammar※ ul...
漏洞简介
Instant Web Mail是一款免费的基于WEB的POP邮件客户端,由PHP实现,运行在Linux和多种Unix系统平台下,也可以运行在Windows平台下。 Instant Web Mail对用户提交内容缺少充分过滤可导致POP命令可执行。 Instant Web Mail的command()是发送POP3命令到POP3服务器的函数,允许嵌入CR和LF字符,攻击者可以在CR和LF字符后增加其他的POP3请求,通过构建包含恶意POP3命令的URL连接发送给目标用户,当用户使用Instant Web Mail查看连接的时候就会执行后面增加的POP3命令,如DELE删除用户等。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 不要点击可疑链接。 厂商补丁: Instant Web Mail ---------------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Instant Web Mail Upgrade instantwebmail.tar.bz2
http://understroem.dk/instantwebmail/instantwebmail.tar.bz2
参考网址
来源: BID 名称: 4361 链接:http://www.securityfocus.com/bid/4361 来源: XF 名称: instant-webmail-pop-commands(8650) 链接:http://www.iss.net/security_center/static/8650.php 来源: BUGTRAQ 名称: 20020323 Instant Web Mail additional POP3 commands and mail headers 链接:http://www.securityfocus.com/archive/1/264041 来源: instantwebmail.sourceforge.net 链接:http://instantwebmail.sourceforge.net/#changeLog
受影响实体
- Instant_web_mail Instant_web_mail:0.59
- Instant_web_mail Instant_web_mail:0.58
- Instant_web_mail Instant_web_mail:0.57
- Instant_web_mail Instant_web_mail:0.56
- Instant_web_mail Instant_web_mail:0.55
补丁
暂无
评论