Lucene search
RootSSV:24260HistoryNov 28, 2011 - 12:00 a.m.
Hastymail "rs"和"rsargs[]"参数远程代码注入漏洞
2011-11-2800:00:00
Root
www.seebug.org
14
0.76 High
EPSS
Percentile
98.2%
BUGTRAQ ID: 50794
CVE ID: CVE-2011-4542
Hastymail是一个用PHP编写的快速、安全、兼容RFC、跨平台的IMAP/SMTP客户端应用程序。
Hastymail实现上存在输入验证漏洞,篡改后的$_POST[‘rs’]和$_POST[‘rsargs[]’]输入参数没有被正确检查过滤,攻击者可利用这些漏洞注入和执行任意代码,导致Web服务器执行任意PHP代码、泄露敏感信息、删除任意文件。
Hastymail
厂商补丁:
Hastymail
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
GET: http://<app_base>/?page=mailbox&mailbox=Drafts
POST: rs=passthru&rsargs[]=asd&rsargs[]=cat /etc/passwd
Related
saint
saint
Hastymail rs parameter command injection
2011-12-28 00:00:00
Hastymail rs parameter command injection
2011-12-28 00:00:00
Hastymail rs parameter command injection
2011-12-28 00:00:00
checkpoint_advisories
checkpoint_advisories
Hastymail2 call_user_func_array() Command Injection (CVE-2011-4542)
2014-10-23 00:00:00
prion
prion
Authentication flaw
2011-11-30 04:05:00
nvd
nvd
CVE-2011-4542
2011-11-30 04:05:58
packetstorm
packetstorm
Hastymail 2.1.1 RC1 Command Injection
2012-07-13 00:00:00
openvas
openvas
Hastymail < 2.1.1 RC2 RCE Vulnerability
2011-11-25 00:00:00
cve
cve
CVE-2011-4542
2011-11-30 04:05:58
cvelist
cvelist
CVE-2011-4542
2011-11-30 02:00:00