IlohaMail 偽造的 GET/POST 任意連絡人刪除
medium Nessus Plugin ID 14633
語系:
概要
遠端主機上執行的一個 Web 郵件應用程式受到連絡人刪除弱點影響。說明
目標正在執行至少一個 IlohaMail 0.7.9-RC2 或更早版本的執行個體。這些版本存在瑕疵,如果使用 DB 型後端來儲存連絡人,經驗證的使用者可利用此瑕疵來刪除屬於任何使用者的連絡人。產生此缺陷的原因在於,刪除 include/save_contacts.MySQL.inc 中的項目時未檢查「delete_item」的擁有權。***** Nessus 僅根據所安裝的
***** IlohaMail 的版本號碼來確定存在此弱點
***** 。
解決方案
升級至 IlohaMail 0.7.9 版或更新版本。Plugin 詳細資訊
嚴重性: Medium
ID: 14633
檔案名稱: ilohamail_contacts_deletion.nasl
版本: 1.11
類型: remote
系列: CGI abuses
已發布: 2004/9/2
已更新: 2022/8/15
支援的感應器: Nessus
風險資訊
CVSS v2
風險因素: Medium
基本分數: 5
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
弱點資訊
弱點發布日期: 2003/1/23