Уязвимость обнаружена в ShareMailPro e-mail server. Сервер раскрывает административную информацию удаленным авторизованным пользователям. Удаленный пользователь может определить существование специфической учетной записи на системе.
Удаленный авторизованный пользователь, имеющий WebConfig привилегии, может выполнить некоторые административные действия через WebConfig интерфейс на 3128 порту. Удаленный авторизованный пользователь может просмотреть Server Services Status, чтобы контролировать состояние почтового сервера и может просмотреть список всех пользователей и состояние каждого пользователя. Пример:
http://ShareMailPro's_IP:3128/status.htm
http://ShareMailPro's_IP:3128/mailbox.htm
Также сообщается, что удаленный пользователь может определить существование специфической учетной записи, посылая запрос POP3 серверу. Если пользователь не существует, сервер выдаст следующую ошибку:
ERR sorry , no such mailbox
Если существует, то
+OK check your mailbox
Уязвимость обнаружена в ShareMailPro 3.6.1.