Woppoware PostMaster <= 4.2.2の複数の脆弱性

medium Nessus プラグイン ID 18246

Language:

概要

リモートWebメールサービスは、複数の欠陥による影響を受けます。

説明

バナーによると、リモートホストにインストールされているバージョンのWoppoware Postmasterは、以下の複数の脆弱性の影響を受けます。

- 認証バイパスの脆弱性。攻撃者が「message.htm」ページの「email」パラメーターにアカウント名を入力し、認証をバイパスする可能性があります。その後、攻撃者が、既存のメッセージを読み取ったり、新しいメッセージを作成したりする可能性があります。

- 情報漏洩の脆弱性。このアプリケーションは、入力されたユーザー名が有効かどうかに基づいて、さまざまなメッセージで応答します。また、「message.htm」で使用される「wmm」パラメーターをサニタイズしません。これが悪用され、ディレクトリトラバーサル攻撃が仕掛けられたり、リモートホストから任意のファイルが取得されたりする可能性があります。

- クロスサイトスクリプティングの脆弱性。「message.htm」ページの「email」パラメーターは、使用前の悪意のある入力をサニタイズされません。