Commtouch反垃圾邮件企业网关PARAMS参数跨站脚本漏洞

2008-06-28T00:00:00
ID SSV:3493
Type seebug
Reporter Root
Modified 2008-06-28T00:00:00

Description

BUGTRAQ ID: 29957

Commtouch Anti-Spam是由以色列Commtouch公司开发的企业级垃圾邮件防护平台。

Commtouch Anti-Spam产品向用户定期发送邮件报告,列出所阻断的可疑垃圾邮件,然后用户可以在邮件中点击相关链接确认是否应放行可疑邮件。点击链接后,用户会被定向到一个登录页面,而这个登录页面没有正确的过滤PARAMS参数。如果攻击者发送了包含有恶意链接的邮件消息的话,用户受骗点击了消息中的链接就会导致跨站脚本攻击。

Commtouch Anti-Spam Enterprise Gateway 5 Commtouch Anti-Spam Enterprise Gateway 4 Commtouch


目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

<a href=http://www.commtouch.com/ target=_blank>http://www.commtouch.com/</a>

                                        
                                            
                                                http://SERVER/AntiSpamGateway/UPM/English/login/login.asp?LoginName=XXX&amp;LoginType=1&amp;PARAMS=XXX&quot;&gt;&lt;SCRIPT&gt;PAYLOAD&nbsp;&lt;/SCRIPT&gt;&lt;input%20type=&quot;hidden&quot;%20name=&quot;XXX&quot;%20value=&quot;X
http://SERVER/