Stalkerlab's Mailers cgimail.exe可获取服务器任意文件漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1206363 漏洞类型 未知
发布时间 2000-08-30 更新时间 2005-08-17
CVE编号 CVE-2000-0726 CNNVD-ID CNNVD-200010-088
漏洞平台 N/A CVSS评分 2.6
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200010-088
|漏洞详情
Mailers是StalkerLab的一个WEBMAIL产品,其中包含了一个叫cgimail.exe的程序,用于把用户提交表单的内容转换为一个email。cgimail.exe实现上存在输入验证漏洞,远程攻击者可能利用此漏洞获得服务器上的任意文件。该程序未对从表单中提交上来的变量$To$、$Attach$、$File$内容进行检查,导致攻击者可以把服务器上的任意有权限访问的文件以附件的形式发送给自己。
|参考资料

来源:BUGTRAQ
名称:20000829Stalker'sCGImailGivesReadAccesstoAllServerFiles
链接:http://www.securityfocus.com/templates/archive.pike?list=1&msg=20000829194618.H7744@thathost.com
来源:BID
名称:1623
链接:http://www.securityfocus.com/bid/1623
来源:XF
名称:mailers-cgimail-spoof(5165)
链接:http://xforce.iss.net/xforce/xfdb/5165
来源:NSFOCUS
名称:3458
链接:http://www.nsfocus.net/vulndb/3458