• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Межсайтовое выполнение сценариев

Главная Специалистам База уязвимостей Межсайтовое выполнение сценариев

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
squirrelmail (Unknown)
Описание
Межсайтовое выполнение сценариев в SquirrelMail позволяет злоумышленникам, действующим удаленно, внедрить произвольный веб-сценарий или выполнить HTML-код, используя векторы, включая некоторые зашифрованные строки в заголовках электронных писем (связано с contrib/decrypt_headers.php), PHP_SELF и строку запроса (другое название -QUERY_STRING).
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.squirrelmail.org/
http://bugzilla.redhat.com/500363
Ссылки
http://bugzilla.redhat.com/500363
BID (34916): http://www.securityfocus.com/bid/34916
XF (squirrelmail-decryptheaders-xss(50460)): http://xforce.iss.net/xforce/xfdb/50460
XF (squirrelmail-phpself-xss(50459)): http://xforce.iss.net/xforce/xfdb/50459