logo
DATABASE RESOURCES PRICING ABOUT US

SquirrelMail 1.x 存在多个安全漏洞

Description

CVE ID:CVE-2010-4554 CVE-2010-4555 CVE-2011-2023 SquirrelMail是一款基于PHP的WEB邮件服务程序。 SquirrelMail存在多个安全漏洞,允许恶意用户进行跨站脚本注入攻击,绕过安全限制等攻击。 1)部分传递给消息中样式标签的输入在functions/mime.php使用之前缺少过滤,可导致跨站脚本攻击。 2)部分传递给下拉选择列表的部分输入在functions/options.php使用之前缺少过滤,可导致跨站脚本攻击。 3)部分传递给SquirrelSpell拼写检查功能的部分输入和索引排序页在返回用户之前缺少过滤,可导致跨站脚本攻击。 4)应用程序存在一个跨站请求伪造攻击,构建恶意链接,诱使用户点击可获得用户密码等信息。 SquirrelMail 1.x 厂商解决方案 用户可参考如下供应商提供的安全公告获得补丁信息: http://www.squirrelmail.org/security/issue/2011-07-10 http://www.squirrelmail.org/security/issue/2011-07-11 http://www.squirrelmail.org/security/issue/2011-07-12


Related