概要
遠端主機上執行的一個 Web 郵件應用程式受到連絡人刪除弱點影響。
說明
目標正在執行至少一個 IlohaMail 0.7.9-RC2 或更早版本的執行個體。這些版本存在瑕疵,如果使用 DB 型後端來儲存連絡人,經驗證的使用者可利用此瑕疵來刪除屬於任何使用者的連絡人。產生此缺陷的原因在於,刪除 include/save_contacts.MySQL.inc 中的項目時未檢查「delete_item」的擁有權。
***** Nessus 僅根據所安裝的
***** IlohaMail 的版本號碼來確定存在此弱點
***** 。
解決方案
升級至 IlohaMail 0.7.9 版或更新版本。
Plugin 詳細資訊
檔案名稱: ilohamail_contacts_deletion.nasl
支援的感應器: Nessus