Open WebMail Email头字段HTML代码注入漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2005-01-02
Open WebMail Email头字段HTML代码注入漏洞

发布日期: 2004年7月9日
受影响系统:
Open Webmail Open Webmail 2.32
Open Webmail Open Webmail 2.31
Open Webmail Open Webmail 2.30
Open Webmail Open Webmail 2.3
Open Webmail Open Webmail 2.21
Open Webmail Open Webmail 2.20
Open Webmail Open Webmail 1.90
Open Webmail Open Webmail 1.90
Open Webmail Open Webmail 1.81
Open Webmail Open Webmail 1.81
Open Webmail Open Webmail 1.8
Open Webmail Open Webmail 1.8
Open Webmail Open Webmail 1.71
Open Webmail Open Webmail 1.71
Open Webmail Open Webmail 1.70
Open Webmail Open Webmail 1.7
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 10667

Open Webmail是一款开放源代码基于WEB的MAIL系统。

Open WebMail不正确过滤用户提供的EMAIL头字段字符串数据,远程安全者可以利用这个漏洞进行跨站脚本执行安全。

提交包含恶意脚本的EMAIL头字段数据,当目标用户使用浏览器打开时,可导致用户的验证使用的COOKIE数据泄露。或可能泄露个人EMAIL信息。

<*来源:Roman Medina-Heigl Hernandez (roman@rs-labs.com)
 
  链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108611554415078&w=2
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Open Webmail
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

Open WebMail Upgrade Open WebMail Current
http://openwebmail.org/openwebmail/download/