Atmail Webmail 6.6.x < 6.6.3 / 7.x < 7.0.3 の File Name パラメーターの XSS
medium Nessus プラグイン ID 73622
Language:
概要
リモート Web サーバーに、クロスサイトスクリプティング脆弱性の影響を受けるアプリケーションが、含まれています。説明
バージョンによると、リモートホストにインストールされている Atmail Webmail は、 6.6.3 より前の 6.6.x であるか、7.0.3 より前の 7.x です。このため、スクリプト「/index.php/mail/viewmessage/getattachment/folder/INBOX/uniqueId/」および「File Name」パラメーターに関連する、クロスサイトスクリプティング攻撃を可能にする可能性がある入力検証エラーの影響を受ける可能性があります。ソリューション
Atmail Webmail 6.6.3、7.0.3、またはそれ以降にアップグレードしてください。参考資料
http://www.nessus.org/u?0f86ce20
https://help.atmail.com/hc/en-us/categories/200214454-Changelog
プラグインの詳細
深刻度: Medium
ID: 73622
ファイル名: atmail_webmail_7_0_3.nasl
バージョン: 1.11
タイプ: remote
ファミリー: CGI abuses : XSS
公開日: 2014/4/18
更新日: 2022/4/11
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.8
CVSS v2
リスクファクター: Medium
基本値: 4.3
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
脆弱性情報
CPE: cpe:/a:atmail:atmail
必要な KB アイテム: www/atmail_webmail
エクスプロイトが利用可能: true
エクスプロイトの容易さ: No exploit is required
パッチ公開日: 2013/3/2
脆弱性公開日: 2013/3/24
参照情報
CVE: CVE-2013-2585
BID: 58738