发布日期：2002-03-23
更新日期：2002-04-01

受影响系统：

Instant Web Mail Instant Web Mail 0.59
Instant Web Mail Instant Web Mail 0.58
Instant Web Mail Instant Web Mail 0.57
Instant Web Mail Instant Web Mail 0.56
Instant Web Mail Instant Web Mail 0.55

不受影响系统：

Instant Web Mail Instant Web Mail 0.60

描述：

---

BUGTRAQ  ID: 4361
CVE(CAN) ID: CVE-2002-0490

Instant Web Mail是一款免费的基于WEB的POP邮件客户端，由PHP实现，运行在Linux和多种Unix系统平台下，也可以运行在Windows平台下。

Instant Web Mail对用户提交内容缺少充分过滤可导致POP命令可执行。

Instant Web Mail的command()是发送POP3命令到POP3服务器的函数，允许嵌入CR和LF字符，攻击者可以在CR和LF字符后增加其他的POP3请求，通过构建包含恶意POP3命令的URL连接发送给目标用户，当用户使用Instant Web Mail查看连接的时候就会执行后面增加的POP3命令，如DELE删除用户等。

<*来源：Ulf Harnhammar （ulfh@update.uu.se）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-03/0316.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 不要点击可疑链接。

厂商补丁：

Instant Web Mail
----------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Instant Web Mail Upgrade instantwebmail.tar.bz2
http://understroem.dk/instantwebmail/instantwebmail.tar.bz2

浏览次数：3029
严重程度：0（网友投票）