CVE ID:CVE-2010-4554
CVE-2010-4555
CVE-2011-2023
SquirrelMail是一款基于PHP的WEB邮件服务程序。
SquirrelMail存在多个安全漏洞,允许恶意用户进行跨站脚本注入攻击,绕过安全限制等攻击。
1)部分传递给消息中样式标签的输入在functions/mime.php使用之前缺少过滤,可导致跨站脚本攻击。
2)部分传递给下拉选择列表的部分输入在functions/options.php使用之前缺少过滤,可导致跨站脚本攻击。
3)部分传递给SquirrelSpell拼写检查功能的部分输入和索引排序页在返回用户之前缺少过滤,可导致跨站脚本攻击。
4)应用程序存在一个跨站请求伪造攻击,构建恶意链接,诱使用户点击可获得用户密码等信息。
SquirrelMail 1.x
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
http://www.squirrelmail.org/security/issue/2011-07-10
http://www.squirrelmail.org/security/issue/2011-07-11
http://www.squirrelmail.org/security/issue/2011-07-12
暂无评论