Lucene search

K
seebugRootSSV:4526
HistoryDec 05, 2008 - 12:00 a.m.

SquirrelMail畸形邮件消息HTML注入漏洞

2008-12-0500:00:00
Root
www.seebug.org
24
squirrelmail
html注入
漏洞
webmail
linux
php4
cve-2008-2379
恶意邮件
浏览器
代码执行

EPSS

0.003

Percentile

71.1%

BUGTRAQ ID: 32603
CVE(CAN) ID: CVE-2008-2379

SquirrelMail是一个多功能的用PHP4实现的Webmail程序,可运行于Linux/Unix类操作系统下。

SquirrelMail没有正确地过滤邮件消息的中的HTML部分输入便显示给了用户。如果打开了恶意的邮件消息的话,就可能导致在用户浏览器会话中执行任意代码。成功攻击要求Options -> Display Preferences中启用了Show HTML Version by Default选项。

SquirrelMail 1.4.16
SquirrelMail

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

<a href=“http://www.squirrelmail.org” target=“_blank”>http://www.squirrelmail.org</a>