发布日期：2008-12-03
更新日期：2008-12-04

受影响系统：

SquirrelMail SquirrelMail 1.4.16

描述：

---

BUGTRAQ  ID: 32603
CVE(CAN) ID: CVE-2008-2379

SquirrelMail是一个多功能的用PHP4实现的Webmail程序，可运行于Linux/Unix类操作系统下。

SquirrelMail没有正确地过滤邮件消息的中的HTML部分输入便显示给了用户。如果打开了恶意的邮件消息的话，就可能导致在用户浏览器会话中执行任意代码。成功攻击要求Options -> Display Preferences中启用了Show HTML Version by Default选项。

<*来源：Ivan Markovic
  
  链接：http://secunia.com/advisories/32143/
*>

建议：

---

厂商补丁：

SquirrelMail
------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.squirrelmail.org

浏览次数：2596
严重程度：0（网友投票）