发布日期：2002-03-28
更新日期：2002-04-01

受影响系统：

SquirrelMail SquirrelMail 1.2.5

描述：

---

BUGTRAQ  ID: 4385
CVE(CAN) ID: CVE-2002-0516

SquirrelMail是一个多功能的用PHP4实现的Webmail程序，可运行于Linux/Unix类操作系统下，它允许利用plugin来扩展系统的功能。

某些版本的SquirrelMail程序对用户输入未做充分过滤，可以使远程攻击者在主机上执行任意命令。

程序脚本对用户选择主题的变量未做充分过滤，远程攻击者可能通过构造特定的输入可能在主机上以Web服务器进程身份执行任意命令。

<*来源：pokleyzz sakamaniaka （pokleyzz@hotmail.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-03/0350.html
        http://online.securityfocus.com/bid/2968
*>

建议：

---

厂商补丁：

SquirrelMail
------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.squirrelmail.org

浏览次数：3156
严重程度：0（网友投票）