Pine URL检查漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1204867 漏洞类型 设计错误
发布时间 2002-01-05 更新时间 2006-04-07
CVE编号 CVE-2002-0014 CNNVD-ID CNNVD-200207-133
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200207-133
|漏洞详情
Pine是一个免费的,开放源码的email客户端程序,由华盛顿大学维护。Pine设计上存在漏洞,可能使远程攻击者在用户机器上执行任意命令。Pine在处理带有环境变量的URL时存在问题,当发送给用户的邮件中的URL链接中包含有编码过的环境变量时,URL中的命令会以收邮件用户的权限被执行。这可能导致用户在收邮件时,执行攻击者指定的一个或多个命令。这个漏洞只有在邮件客户端配置了URL处理程序(URLhandler)时才会起作用。
|参考资料

来源:REDHAT
名称:RHSA-2002:009
链接:http://rhn.redhat.com/errata/RHSA-2002-009.html
来源:BUGTRAQ
名称:20020105Pine4.33(atleast)URLhandlerallowsembeddedcommands.
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101027841605918&w=2
来源:HP
名称:HPSBTL0201-015
链接:http://www1.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBTL0201-015
来源:BID
名称:3815
链接:http://www.securityfocus.com/bid/3815
来源:CONECTIVA
名称:CLA-2002:460
链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000460