漏洞信息详情
Postfix Admin‘gen_show_status’函数SQL注入漏洞
- CNNVD编号:CNNVD-201404-037
- 危害等级: 高危
- CVE编号: CVE-2014-2655
- 漏洞类型: SQL注入
- 发布时间: 2014-04-04
- 威胁类型: 远程
- 更新时间: 2014-04-04
- 厂 商: postfix_admin_project
- 漏洞来源:
漏洞简介
Postfix Admin(也称postfixadmin)是一套基于Web的Postfix(邮件发送服务器)管理工具。该工具可直接管理Postfix的虚拟域名和用户。
Postfix Admin 2.3.6及之前版本中的functions.inc.php文件中的‘gen_show_status’函数存在SQL注入漏洞。远程攻击者可利用该漏洞执行任意SQL命令。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://sourceforge.net/p/postfixadmin/code/1650
参考网址
来源: BID
名称: 66455
链接:http://www.securityfocus.com/bid/66455
来源: MLIST
名称: [oss-security] 20140326 CVE request: postfixadmin SQL injection vulnerability
链接:http://www.openwall.com/lists/oss-security/2014/03/26/6
来源: MLIST
名称: [oss-security] 20140326 Re: CVE request: postfixadmin SQL injection vulnerability
链接:http://www.openwall.com/lists/oss-security/2014/03/26/11
来源: sourceforge.net
链接:http://sourceforge.net/p/postfixadmin/code/1650
受影响实体
- Postfix_admin_project Postfix_admin:2.2.1.1
- Postfix_admin_project Postfix_admin:2.3
- Postfix_admin_project Postfix_admin:2.3.1
- Postfix_admin_project Postfix_admin:2.3.2
- Postfix_admin_project Postfix_admin:2.3.3
补丁
- postfixadmin-2.3.7
评论