发布日期：2006-08-11
更新日期：2006-08-15

受影响系统：

SquirrelMail SquirrelMail <= 1.4.7

不受影响系统：

SquirrelMail SquirrelMail 1.4.8

描述：

---

BUGTRAQ  ID: 19486
CVE(CAN) ID: CVE-2006-4019

SquirrelMail是一个多功能的用PHP4实现的Webmail程序，可运行于Linux/Unix类操作系统下。

SquirrelMail在处理邮件操作时存在漏洞，远程攻击者可能利用此漏洞执行某些非授权操作。

认证用户可以覆盖SquirrelMail的compose.php脚本中的随机变量，这可能导致读取或覆盖用户的偏好文件或附件。

<*来源：Thijs Kinkhorst （kink@squirrelmail.org）
  
  链接：http://marc.theaimsgroup.com/?l=squirrelmail-announce&m=115529941731331&w=2
*>

建议：

---

厂商补丁：

SquirrelMail
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.squirrelmail.org/patches/sqm1.4.7-expired-post-fix-minimal.patch
http://www.squirrelmail.org/patches/sqm1.4.7-expired-post-fix-full.patch

浏览次数：2840
严重程度：0（网友投票）