Tweet
Follow @gansomer
Se han reportado tres vulnerabilidades en SquirrelMail que afectan a
las versiones 1.4.21 y anteriores. Un atacante remoto podría aprovechar
estas vulnerabilidades para ejecutar ataques cross-site scripting o
eludir restricciones de seguridad.
Las vulnerabilidades son las siguientes:CVE-2011-2023: Vulnerabilidad localizada en el fichero
"functions/mime.php" al procesar los parámetros de entrada con tags de
estilo y que podría permitir a un atacante remoto ejecutar código HTML
arbitrario y sctipts con los privilegios del usuario que lance el
navegador.
CVE-2010-4554: Vulnerabilidad causada por no validar correctamente una
petición HTTP. Esto podría ser aprovechada por un atacante remoto para
obtener información sensible a través de una página especialmente
manipulada.
CVE-2010-4555: Vulnerabilidad localizada en el fichero
"functions/options.php" al no procesar correctamente las entradas en una
lista despegable. Podría ser aprovechado por un atacante remoto para
inyectar código.
El corrector ortográfico de SquirrelMail tampoco procesa adecuadamente
el carácter ">" a la hora de devolver un texto al usuario, pudiendo
devolver un código HTML erróneo que podría ser aprovechado por un
atacante remoto para realizar un ataque cross-site scripting.
Las vulnerabilidades han sido corregidas en la versión 1.4.22 y puede
ser descargada desde la página oficial
http://www.squirrelmail.org/
No hay comentarios:
Publicar un comentario