 |
  |
|
| 首页 | 技术文章 | 软件下载 | 博客 | 论坛 | 精品教程 | 黑客动画 | 视频资源 | 在线服务 | 黑客游戏 | | ||||
 |
|
|||||||
|
||||||||
|
|||||
| Magic Winmail Server多个安全漏洞 | |||||
作者:未知 文章来源:http://www.nsfocus.net/ 点击数: 更新时间:2005-2-14  |
|||||
|
受影响系统: Amax Engineering Corporation Winmail Server 4.0 Build 1112 描述: -------------------------------------------------------------------------------- BUGTRAQ ID: 12388 Magic Winmail Server是一款多功能基于WEB的邮件服务程序。 Magic Winmail Server存在多个安全问题,远程攻击者可以利用这些漏洞上传下载任意文件,进行跨站脚本等攻击。 1、WEBMAIL漏洞 a、download.php允许目录遍历下载任意文件,由于对参数缺少充分过滤,可导致下载系统任意文件。 b、upload.php由于对用户提供的文件名缺少充分过滤,可通过目录遍历上传任意文件到系统。 c、显示邮件用户个人信息时存在跨站脚本漏洞。'/admin/user.php'脚本允许WEB管理员查看用户名,全名,描述和公司名,恶意用户可以使用userinfo.php脚本插入恶意脚本到个人信息,当管理员查看时,可导致敏感信息泄露。 2、IMAP服务远程目录遍历漏洞 多个IMAP命令存在目录遍历问题,可导致恶意登露用户读取任意用户邮件,删除和建立任意目录。这些命令包括CREATE、EXAMINE、SELECT和DELET。 3、FTP PORT命令存在安全问题 Winmail Server的FTP服务没有正确PORT命令提供的IP地址,可导致攻击者利用PORT命令进行端口扫描。 <*来源:Tan Chew Keong (chewkeong@security.org.sg) 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110685011825461&w=2 *> 建议: -------------------------------------------------------------------------------- 厂商补丁: Amax Engineering Corporation ---------------------------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.magicwinmail.net |
|||||
| 文章录入:IceRiver 责任编辑:IceRiver | |||||
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 | |||||
| 最新热点 | 最新推荐 | 相关文章 | ||
| Hotmail邮箱把奥运会门票邮件 ClamAV 实现多个空指针引用漏 ClamAV 实现多个空指针引用漏 自动创建网邮账户的木马将目 超越Gmail 微软Hotmail信箱容 Hotmail更新——Windows Liv Mac OSX--攻破它像用它那么 Gmail遭遇破解 专家演示Gmail被劫过程 Wi- shell编程例子 -- 一个.logi |
 网友评论:(只显示最新5条。评论内容只代表网友观点,与本站立场无关!) |
 |
|
| 关于我们 - 版权声明 - 帮助(?) - 广告服务 - 联系我们 - 友情链接 - 用户注册 - | Powered by ICE RIVER - STUDIO |
|
|
| » CnXHacker.CoM |  |
© CopyRight 2002-2006, CnXHacker.CoM™, Inc. All Rights Reserved. |
