Atmail WebMail跨站脚本漏洞(CVE-2013-2585)
Atmail WebMail跨站脚本漏洞(CVE-2013-2585)
发布日期:2013-03-25
更新日期:2013-03-29
受影响系统:
@Mail AtMail Webmail 7.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 58738
CVE(CAN) ID: CVE-2013-2585
Atmail是商业化Linux消息传送平台提供者。
Atmail 7.0.2及其他版本没有正确过滤/index.php/mail/viewmessage/getattachment/folder/INBOX/uniqueId/后的文件名参数值,可被利用在受影响站点用户浏览器会话中执行任意HTML和脚本代码。
<*来源:Vicente Aguilera Diaz (vaguilera@isecauditors.com)
链接:http://secunia.com/advisories/52702/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
@Mail
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.securityfocus.com/bid/51313/www.atmail.com
评论暂时关闭