Instant Web Mail POP命令执行漏洞

漏洞信息详情

Instant Web Mail POP命令执行漏洞

• CNNVD编号：CNNVD-200208-215
• 危害等级： 超危
  
  
• CVE编号：
  CVE-2002-0490
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  2002-03-23
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  instant_web_mail
• 漏洞来源：
  Ulf Harnhammar※ ul…

Instant Web Mail是一款免费的基于WEB的POP邮件客户端，由PHP实现，运行在Linux和多种Unix系统平台下，也可以运行在Windows平台下。
Instant Web Mail对用户提交内容缺少充分过滤可导致POP命令可执行。
Instant Web Mail的command()是发送POP3命令到POP3服务器的函数，允许嵌入CR和LF字符，攻击者可以在CR和LF字符后增加其他的POP3请求，通过构建包含恶意POP3命令的URL连接发送给目标用户，当用户使用Instant Web Mail查看连接的时候就会执行后面增加的POP3命令，如DELE删除用户等。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 不要点击可疑链接。
厂商补丁：
Instant Web Mail
—————-
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Instant Web Mail Upgrade instantwebmail.tar.bz2

http://understroem.dk/instantwebmail/instantwebmail.tar.bz2” target=”_blank”>
http://understroem.dk/instantwebmail/instantwebmail.tar.bz2

来源: BID
名称: 4361
链接:http://www.securityfocus.com/bid/4361

来源: XF
名称: instant-webmail-pop-commands(8650)
链接:http://www.iss.net/security_center/static/8650.php

来源: BUGTRAQ
名称: 20020323 Instant Web Mail additional POP3 commands and mail headers
链接:http://www.securityfocus.com/archive/1/264041

来源: instantwebmail.sourceforge.net
链接:http://instantwebmail.sourceforge.net/#changeLog