Horde IMP和Groupware Webmail多个跨站脚本攻击漏洞

漏洞信息详情

Horde IMP和Groupware Webmail多个跨站脚本攻击漏洞

• CNNVD编号：CNNVD-201104-005
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2010-4778
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2011-04-06
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2011-04-06
  
• 厂        商：
  
  horde
• 漏洞来源：

IMP是一款基于Web的邮件程序，由Horde项目组开发，可用在Linux/Unix或Microsoft Windows操作系统下。

Horde IMP 4.3.8之前版本，以及Horde Groupware Webmail Edition 1.2.7之前版本中存在多个跨站脚本攻击漏洞。远程攻击者可以借助与Fetchmail配置有关的fetchmail_prefs_save操作的多个字段，注入任意web脚本或者HTML。这些字段包括：（1）username（又名fmusername），（2）password（又名fmpassword）或者（3）server（又名fmserver）字段。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://ftp.horde.org/pub/imp/imp-h3-4.3.8.tar.gz

来源: git.horde.org

链接:http://git.horde.org/diff.php/imp/fetchmailprefs.php?rt=horde&r1=1.39.4.10&r2=1.39.4.11

来源: VUPEN

名称: ADV-2010-2513

链接:http://www.vupen.com/english/advisories/2010/2513