SqWebMail文件附件脚本注入漏洞-搜狐数码

数码天下-搜狐网站

搜狐首页-新闻-体育-娱乐-财经-IT-汽车-房产-家居-女人-TV-ChinaRen-邮件-博客-BBS-搜狗



数码天下 > 软件生活 > 病毒与安全 > 漏洞与BUG


SqWebMail文件附件脚本注入漏洞

时间：2005年08月30日09:19

我来说两句(0)

即时新闻通知

进入新闻论坛

相关新闻:

信息提供：	安全公告（或线索）提供热线：
漏洞类别：	脚本注入漏洞
攻击类型：	远程攻击
发布日期：	2005-08-29
更新日期：	2005-08-29
受影响系统：	inter7 SqWebMail 5.0.4
安全系统：	无
漏洞报告人：	Jakob Balle （jb@secunia.com）
漏洞描述：	BUGTRAQ ID: 14650 SqWebMail是使用Maildir邮箱发送和接收邮件的web CGI客户端。 SqWebMail中存在脚本注入漏洞，起因是SqWebMail允许在SqWebMail server环境中浏览附带的文件。攻击者可以利用这个漏洞在用户在附件文件上点击“显示”时执行任意脚本代码。
测试方法：	警告以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！ --_----------=_1123228313217851 Content-Disposition: attachment; filename="image.jpg" Content-Transfer-Encoding: binary Content-Type: text/html <html> <body> <script>alert(document.domain);</script> </body> </html> --_----------=_1123228313217851--
解决方法：	临时解决方法：如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁： * 不要显示或下载附件文件。厂商补丁： inter7 ------ 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： https://www.inter7.com/sqwebmail/sqwebmail.html

文章出处：51CTO.com

(责任编辑：关美纳)

页面功能【我来说两句】【热点排行】【推荐】【字体：大中小】【打印】【关闭】

■ 相关链接

■ 我来说两句

用　　户： 匿名发出：

请各位遵纪守法并注意语言文明。

　

*经营许可证编号：京ICP00000008号
*《互联网电子公告服务管理规定》
*《全国人大常委会关于维护互联网安全的规定》

手机

包月自写5分钱/条

最新制作想唱就唱
夏天的味道哪一站

精品专题推荐：

谁说赚钱难告诉你秘诀
测IQ交朋友，非常速配
就让你笑火暴搞笑到底

短信订阅
焦点新闻

·[组图]大陆第一美女模特

·[图]这就是人死后世界？

·女星中的九大混血妖姬

	搜狐商城

·数码|iPod nano￥1799

·I T|1G 微盘特价￥399

·家电|飞利浦耳机特价

·家电|USB音箱5折

·家电|飞利浦耳机特价

-- 给编辑写信

Copyright © 2017 Sohu.com Inc. All Rights Reserved.搜狐公司版权所有全部新闻全部博文