发布日期：2005-07-14
更新日期：2005-07-14

受影响系统：

SquirrelMail SquirrelMail 1.4.4
SquirrelMail SquirrelMail 1.2.6

不受影响系统：

SquirrelMail SquirrelMail 1.4.5

描述：

---

BUGTRAQ  ID: 14254
CVE(CAN) ID: CVE-2005-2095

SquirrelMail是一个多功能的用PHP4实现的Webmail程序，可运行于Linux/Unix类操作系统下。

SquirrelMail中存在变量处理漏洞，攻击者可能利用此漏洞破坏系统文件或执行跨站脚本攻击。

目前起因不明，但据报告攻击者可以利用这个漏洞泄漏和管理用户的偏好，以www-data环境写入任意文件，或展开跨站脚本攻击。

<*来源：James Bercegay （security@gulftech.org）
  
  链接：http://www.coresecurity.com/common/showdoc.php?idx=467&idxseccion=10
*>

建议：

---

厂商补丁：

SquirrelMail
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载1.4.5版本：

http://www.squirrelmail.org/download.php

浏览次数：2921
严重程度：0（网友投票）