Уязвимость обнаружена в ShareMailPro e-mail server. Сервер раскрывает административную информацию удаленным авторизованным пользователям. Удаленный пользователь может определить существование специфической учетной записи на системе. 

Удаленный авторизованный пользователь, имеющий WebConfig привилегии, может выполнить некоторые административные действия через WebConfig интерфейс на 3128 порту. Удаленный авторизованный пользователь может просмотреть Server Services Status, чтобы контролировать состояние почтового сервера и может просмотреть список всех пользователей и состояние каждого пользователя. Пример: 

http://ShareMailPro's_IP:3128/status.htm
http://ShareMailPro's_IP:3128/mailbox.htm

Также сообщается, что удаленный пользователь может определить существование специфической учетной записи, посылая запрос POP3 серверу. Если пользователь не существует, сервер выдаст следующую ошибку: 

ERR sorry , no such mailbox

Если существует, то 

+OK check your mailbox

Уязвимость обнаружена в ShareMailPro 3.6.1.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии