Mailreader network.cgi riched/richtext MIME 訊息 XSS
medium Nessus Plugin ID 17661
語系:
概要
遠端主機中有一個 CGI 指令碼容易受到跨網站指令碼攻擊。說明
根據標題來判斷,遠端主機上安裝的 Mailreader 版本受到一個遠端 HTML 注入弱點影響,這是因為其無法正確清理使用「text/enriched」或「text/richtext」MIME 類型的訊息。攻擊者可藉由傳送特製訊息給使用 Mailreader 讀取郵件的使用者,來利用此缺陷。然後,當使用者讀取該訊息時,使用者的瀏覽器會在遠端主機的內容中執行訊息中內嵌的惡意 HTML 或指令碼,讓攻擊者得以竊取驗證 Cookie 並執行其他攻擊。解決方案
升級至 Mailreader 2.3.36 或更新版本。Plugin 詳細資訊
嚴重性: Medium
ID: 17661
檔案名稱: mailreader_html_injection.nasl
版本: 1.17
類型: remote
系列: CGI abuses : XSS
已發布: 2005/3/30
已更新: 2021/1/19
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 2.7
CVSS v2
風險因素: Medium
基本分數: 4.3
時間分數: 3.7
媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
弱點資訊
排除在外的 KB 項目: Settings/disable_cgi_scanning
可輕鬆利用: No exploit is required
弱點發布日期: 2005/3/30
參考資訊
CVE: CVE-2005-0386
BID: 12945