安全研究
安全漏洞
安全漏洞
所有系统
AIX
BSD(eg,OpenBSD)
Digital Unix
HP-UX
IRIX
Linux
FreeBSD
SCO UNIX
SunOS
Solaris
Windows
所有类型
远程进入系统
本地越权访问
拒绝服务攻击
嵌入恶意代码
Web数据接口
其他类型
SquirrelMail多个表单跨站请求伪造漏洞
发布日期:
2009-08-25
更新日期:
2009-08-26
受影响系统:
SquirrelMail SquirrelMail <= 1.4.19
描述:
BUGTRAQ ID:
36196
CVE(CAN) ID:
CVE-2009-2964
SquirrelMail是一款PHP编写的WEBMAIL程序。
SquirrelMail没有正确地过滤用户向多个表单(发送消息、更改偏好等)所提交的内容,远程攻击者可以通过跨站请求伪造攻击执行删除邮件、发送邮件等操作。以下是受影响的页面:
functions/mailbox_display.php
src/addrbook_search_html.php
src/addressbook.php
src/compose.php
src/folders.php
src/folders_create.php
src/folders_delete.php
src/folders_rename_do.php
src/folders_rename_getname.php
src/folders_subscribe.php
src/move_messages.php
src/options.php
src/options_highlight.php
src/options_identities.php
src/options_order.php
src/search.php
src/vcard.php
<*来源:Tomas Hoger (
thoger@redhat.com
)
链接:
http://secunia.com/advisories/34627/
https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=517312
http://www.squirrelmail.org/security/issue/2009-08-12
*>
建议:
厂商补丁:
SquirrelMail
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://squirrelmail.svn.sourceforge.net/viewvc/squirrelmail?view=rev&revision=13818
浏览次数:
2409
严重程度:
0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障
关于我们
公司介绍
公司荣誉
公司新闻
联系我们
公司总部
分支机构
海外机构
快速链接
绿盟云
绿盟威胁情报中心NTI
技术博客
