萬盛學電腦網

 萬盛學電腦網 >> 健康知識 >> HiveMail郵件程序多個安全漏洞

HiveMail郵件程序多個安全漏洞

  漏洞信息  HiveMail是一款基於PHP的WEB郵件程序。  HiveMail多個腳本對用戶提交的URI數據缺少過濾,遠程攻擊者可以利用漏洞獲得敏感信息或以WEB權限執行任意命令。  'addressbook.update.php'腳本對用戶提交給'$contactgroupid'參數缺少過濾,提交惡意參數可導致以WEB權限執行任意PHP命令。  另外'addressbook.add.php'腳本對'messageid'參數及'folders.update.php'腳本對'folderid'參數缺少過濾。同樣存在上面的問題。  'index.php'腳本的對URI數據缺少過濾,自學教程,5自學網,可導致跨站腳本問題。  BUGTRAQ ID: 16591  CNCAN ID:CNCAN-2006021307  漏洞消息時間:2006-02-10  漏洞起因  輸入驗證錯誤  影響系統  HiveMail HiveMail 1.2.2   HiveMail HiveMail 1.3 RC1  HiveMail HiveMail 1.3 Beta 1  HiveMail HiveMail 1.3  危害  遠程攻擊者可以利用漏洞獲得敏感信息或以WEB權限執行任意命令。  攻擊所需條件  攻擊者必須訪問HiveMail。  測試方法  =remove&contactgroupid=1 -- ");phpinfo();@ob_start("&submit=1&contactcheck[]=1&con  tactcheck[]=2  ?cmd=quickmessageid=1");phpinfo();@ob_start("&popid=1msgid=1  ?cmd=mark&folderid=0 -- ");phpinfo();@ob_start("  ">alert(document.cookie);   廠商解決方案  目前沒有解決方案提供,請關注以下鏈接:    漏洞提供者  GulfTech Security Research.  漏洞消息鏈接  ?l=bugtraq&m=113968581502861&w=2  漏洞消息標題  HiveMail
copyright © 萬盛學電腦網 all rights reserved