IlohaMail read_message.php 附件多個欄位 XSS
medium Nessus Plugin ID 18050
語系:
概要
遠端 Web 伺服器中有一個 PHP 應用程式受到跨網站指令碼攻擊。說明
根據版本號碼來判斷,遠端主機上安裝的 IlohaMail 未正確清理附件檔案名稱、MIME 媒體類型和 HTML/文字電子郵件訊息。攻擊者可透過傳送特製訊息給使用者來利用這些弱點,當使用者使用受影響的 IlohaMail 版本讀取訊息時,攻擊者就可以在受影響網站的內容中於使用者的瀏覽器中執行任意 HTML 和指令碼。解決方案
升級至 IlohaMail 0.8.14-rc3 版或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 18050
檔案名稱: ilohamail_email_xss.nasl
版本: 1.21
類型: remote
系列: CGI abuses : XSS
已發布: 2005/4/14
已更新: 2021/1/19
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 2.7
CVSS v2
風險因素: Medium
基本分數: 4.3
時間分數: 3.7
媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
弱點資訊
必要的 KB 項目: www/PHP
排除在外的 KB 項目: Settings/disable_cgi_scanning
可輕鬆利用: No exploit is required
弱點發布日期: 2005/4/14
參考資訊
CVE: CVE-2005-1120
BID: 13175