Usermin HTML Email脚本代码执行漏洞

漏洞信息详情

Usermin HTML Email脚本代码执行漏洞

• CNNVD编号：CNNVD-200408-017
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2004-0588
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2004-06-11
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-01-02
  
• 厂        商：
  
  usermin
• 漏洞来源：
  Keigo Yamazaki※ sn…

Webmin是澳大利亚软件开发者Jamie Cameron和Webmin社区共同开发的一套基于Web的用于类Unix操作系统中的系统管理工具。Usermin则设计用于操作用户级别的任务，允许Unix系统中用户简单的进行接收邮件，执行SSH和邮件转发配置。
Usermin不正确过滤HTML EMAIL消息数据，远程攻击者可以利用这个漏洞窃取目标用户敏感信息。
攻击者可以发送包含恶意脚本代码的HTML EMAIL消息，当目标用户打开浏览时，可导致脚本代码在用户浏览器上执行，这可导致获得基于Cookie的敏感信息。

厂商补丁：
Usermin
——-
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Usermin Upgrade usermin-1.080.tar.gz

http://www.webmin.com/udownload.html” target=”_blank”>
http://www.webmin.com/udownload.html

来源: BID
名称: 10521
链接:http://www.securityfocus.com/bid/10521

来源: GENTOO
名称: GLSA-200406-15
链接:http://www.gentoo.org/security/en/glsa/glsa-200406-15.xml

来源: BUGTRAQ
名称: 20040611 [SNS Advisory No.73] Usermin Cross-site Scripting Vulnerability
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108781564518287&w=2

来源: XF
名称: usermin-email-xss(16494)
链接:http://xforce.iss.net/xforce/xfdb/16494

来源: www.lac.co.jp
链接:http://www.lac.co.jp/security/csl/intelligence/SNSadvisory_e/73_e.html