Open WebMail Email头字段HTML代码注入漏洞
发布日期: 2004年7月9日
受影响系统:
Open Webmail Open Webmail 2.32
Open Webmail Open Webmail 2.31
Open Webmail Open Webmail 2.30
Open Webmail Open Webmail 2.3
Open Webmail Open Webmail 2.21
Open Webmail Open Webmail 2.20
Open Webmail Open Webmail 1.90
Open Webmail Open Webmail 1.90
Open Webmail Open Webmail 1.81
Open Webmail Open Webmail 1.81
Open Webmail Open Webmail 1.8
Open Webmail Open Webmail 1.8
Open Webmail Open Webmail 1.71
Open Webmail Open Webmail 1.71
Open Webmail Open Webmail 1.70
Open Webmail Open Webmail 1.7
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 10667
Open Webmail是一款开放源代码基于WEB的MAIL系统。
Open WebMail不正确过滤用户提供的EMAIL头字段字符串数据,远程安全者可以利用这个漏洞进行跨站脚本执行安全。
提交包含恶意脚本的EMAIL头字段数据,当目标用户使用浏览器打开时,可导致用户的验证使用的COOKIE数据泄露。或可能泄露个人EMAIL信息。
<*来源:Roman Medina-Heigl Hernandez (roman@rs-labs.com)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108611554415078&w=2
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Open Webmail
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Open WebMail Upgrade Open WebMail Current
http://openwebmail.org/openwebmail/download/