SquirrelMail functions/imap_general.php 任意代码执行漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1182741 漏洞类型 其他
发布时间 2009-05-22 更新时间 2009-06-09
CVE编号 CVE-2009-1381 CNNVD-ID CNNVD-200905-269
漏洞平台 N/A CVSS评分 6.8
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200905-269
|漏洞详情
SquirrelMail是一款PHP编写的WEBMAIL程序。SquirrelMail的1.4.18之前版本中的多个安全漏洞允许恶意用户执行跨站脚本、会话固定和网络钓鱼攻击。1)contrib/decrypt_headers.php等模块没有正确地用户所提交的URI等请求参数,远程攻击者可以通过提交恶意请求执行跨站脚本攻击,在用户浏览器会话中注入并执行任意HTML和脚本代码。2)会话处理中的错误可能导致劫持其他用户的会话。3)没有正确地过滤对邮件的输入便显示给了用户,在打开特制邮件消息时可能通过跨站脚本覆盖GUI界面元素。4)没有正确地过滤对map_yp_alias用户名映射函数所传送的输入便在shell命令中使用,这可能导致执行任意服务器端脚本。
|参考资料

来源:BUGTRAQ
名称:20090521[SECURITY][DSA1802-2]Newsquirrelmailpackagescorrectincompletefix
链接:http://www.securityfocus.com/archive/1/archive/1/503718/100/0/threaded
来源:FEDORA
名称:FEDORA-2009-5350
链接:https://www.redhat.com/archives/fedora-package-announce/2009-May/msg01202.html
来源:FEDORA
名称:FEDORA-2009-5471
链接:https://www.redhat.com/archives/fedora-package-announce/2009-May/msg01195.html
来源:MANDRIVA
名称:MDVSA-2009:122
链接:http://www.mandriva.com/security/advisories?name=MDVSA-2009:122
来源:DEBIAN
名称:DSA-1802
链接:http://www.debian.org/security/2009/dsa-1802
来源:SECUNIA
名称:35140
链接:http://secunia.com/advisories/35140
来源:MISC
链接:http://release.debian.org/proposed-updates/stable_diffs/squirrelmail_1.4.15-4+lenny2.debdiff