漏洞信息详情
SquirrelMail对恶意HTML格式邮件处理的漏洞
- CNNVD编号:CNNVD-200212-769
- 危害等级: 高危
- CVE编号: CVE-2002-1648
- 漏洞类型: 输入验证
- 发布时间: 2002-01-24
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: squirrelmail
- 漏洞来源: Tom McAdam※ tomc@f...
漏洞简介
SquirrelMail是一个用php4写的功能丰富的webmail程序。可以运行于Linux/Unix系统。 在某些SquirrelMail版本中,如果HTML格式的邮件中包含恶意内容的代码,如插入Javascript脚本,可以导致脚本代码被执行。也可能包含其他相关SquirrelMail脚本的引用,可能导致以认证用户的身份进行恶意行为操作。 脚本compose.php在受影响用户发新邮件时存在此安全漏洞。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 暂时停止使用SquirrelMail。 厂商补丁: SquirrelMail ------------ 目前厂商已经发布了1.2.3版本以修复这个安全问题,请到厂商的主页下载:
http://www.squirrelmail.org
参考网址
来源:US-CERT Vulnerability Note: VU#153043 名称: VU#153043 链接:http://www.kb.cert.org/vuls/id/153043 来源: XF 名称: squirrelmail-HTML-execute-script(7989) 链接:http://xforce.iss.net/xforce/xfdb/7989 来源: BID 名称: 3956 链接:http://www.securityfocus.com/bid/3956 来源: BUGTRAQ 名称: 20020124 Vulnerabilities in squirrelmail 链接:http://archives.neohapsis.com/archives/bugtraq/2002-01/0310.HTML 来源:NSFOCUS 名称:2210 链接:http://www.nsfocus.net/vulndb/2210
受影响实体
- Squirrelmail Squirrelmail:1.2.2
补丁
暂无
评论