发布日期:2013-06-25
更新日期:2013-06-26
受影响系统:
Icewarp IceWarp Mail Server
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 60755
IceWarp Mail Server是邮件服务器综合解决方案,包括邮件服务器、反垃圾邮件、反病毒等功能。
IceWarp Mail Server 10.4.5及其他版本存在多个跨站脚本和XML外部实体注入漏洞,攻击者可利用这些漏洞在受影响浏览器中执行任意脚本代码、进行未授权操作。
<*来源:V. Paulikas
链接:
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
1)跨站脚本漏洞:
/webmail/calendar/index.html
/admin/tools/svnparser.html
2)未经身份验证的XML外部实体注入漏洞,通过发送特制的HTTP POST请求到/rpc/gw.html脚本利用此漏洞,要利用此漏洞需要有效的管理员凭证。
建议:
--------------------------------------------------------------------------------
厂商补丁:
Icewarp
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: