SquirrelMail HTML附件可插入脚本漏洞

漏洞信息详情

SquirrelMail HTML附件可插入脚本漏洞

• CNNVD编号：CNNVD-200212-439
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-2086
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-05-03
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-04-07
  
• 厂        商：
  
  squirrelmail
• 漏洞来源：
  Nick Cleaton

SquirrelMail是一套跨平台的使用PHP4开发Webmail邮件系统。
SquirrelMail对HTML文件附件的数据缺少充分正确的检查，可导致攻击者进行跨站脚本执行攻击。
攻击者可以在SquirrelMail的HTML文件附件输入包含恶意脚本代码，由于SquirrelMail在HTML文件中的内容没有对脚本代码标记进行过滤，用户查看包含恶意代码的HTML邮件时，可导致代码在浏览用户浏览器上执行，使用户基于Cookie认证的敏感信息泄露。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 修改程序，严格过滤用户输入的数据，不允许ＪavaＳcript脚本或对<>字符进行转换。

* 设置浏览器禁用JavaScript。
厂商补丁：
SquirrelMail
————
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

升级程序到squirrelmail-1.2.6版本：

SquirrelMail Upgrade squirrelmail-1.2.6

http://www.squirrelmail.org/download.php” target=”_blank”>
http://www.squirrelmail.org/download.php

来源: XF
名称: squirrelmail-html-attachment-xss(9009)
链接:http://xforce.iss.net/xforce/xfdb/9009

来源: XF
名称: squirrelmail-header-xss(9008)
链接:http://xforce.iss.net/xforce/xfdb/9008

来源: BID
名称: 4667
链接:http://www.securityfocus.com/bid/4667

来源: BID
名称: 4666
链接:http://www.securityfocus.com/bid/4666

来源: www.squirrelmail.org
链接:http://www.squirrelmail.org/changelog.php

来源: sourceforge.net
链接:http://sourceforge.net/tracker/index.php?func=detail&aid=545933&group_id=311&atid=100311

来源: sourceforge.net
链接:http://sourceforge.net/tracker/index.php?func=detail&aid=544658&group_id=311&atid=100311

来源：NSFOCUS
名称：2729※2728
链接：http://www.nsfocus.net/vulndb/2729※2728