Active! mail跨站脚本执行漏洞

漏洞信息详情

Active! mail跨站脚本执行漏洞

• CNNVD编号：CNNVD-200210-117
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0950
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-06-13
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  transware
• 漏洞来源：
  Keigo Yamazaki※ sn…

Active! mail是一款由TransWARE Co.开发的基于WEB的EMAIL系统。
Active! mail对邮件头字段数据缺少正确充分的检查，远程攻击者可以利用此漏洞进行跨站脚本执行攻击。
当邮件头字段中包含HTML标记时Active! mail没有对数据进行正确的转换就显示信息，攻击者可以在邮件头字段中插入恶意HTML标记如＜script＞发送给用户，当用户查看邮件时就导致恶意脚本代码在用户端浏览器上执行，导致用户基于认证的Cookie信息泄露或进行其他非法活动。

厂商补丁：
TransWARE Co.
————-
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

升级到Active! mail 2.0.1.1版本:

http://www.transware.co.jp/active/download/am_download.html” target=”_blank”>
http://www.transware.co.jp/active/download/am_download.html

来源: BID
名称: 5007
链接:http://www.securityfocus.com/bid/5007

来源: XF
名称: activemail-script-tag-header(9358)
链接:http://www.iss.net/security_center/static/9358.php

来源: BUGTRAQ
名称: 20020613 [SNS Advisory No.54] Active! mail Executing the Script upon the Opening of a Mail Message Vulnerability
链接:http://archives.neohapsis.com/archives/bugtraq/2002-06/0108.html