BUGTRAQ ID: 32603
CVE(CAN) ID: CVE-2008-2379
SquirrelMail是一个多功能的用PHP4实现的Webmail程序,可运行于Linux/Unix类操作系统下。
SquirrelMail没有正确地过滤邮件消息的中的HTML部分输入便显示给了用户。如果打开了恶意的邮件消息的话,就可能导致在用户浏览器会话中执行任意代码。成功攻击要求Options -> Display Preferences中启用了Show HTML Version by Default选项。
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
<a href=“http://www.squirrelmail.org” target=“_blank”>http://www.squirrelmail.org</a>