受影响系统:
magicwinmail Winmail Server 5.x
描述:
BUGTRAQ ID: 56231
Winmail Server是一款安全易用全功能的邮件服务器软件。
Winmail Server 5.0 Build 0620及其他版本存在多个安全漏洞,可被利用操作脚本插入攻击。
1)通过”monitorname”参数传递到 admin/main.php(”dest”设置为”mailmonitor”时)的输入及 “signname”参数向
admin/main.php传参没有正确过滤即被显示给用户,可被利用插入任意HTML和脚本代码。
2)通过邮件主题传递的输入没有正确过滤即被使用,可被利用插入任意HTML和脚本代码。
<*来源:Zhao Liang 链接:http://secunia.com/advisories/50631/ *>
建议:
厂商补丁:
magicwinmail
————
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.magicwinmail.com/
评论关闭。