Уязвимость обнаружена в University
of Washington IMAP (uw-imap)
сервере. Удаленный авторизованный пользователь
может просматривать, перемещать и удалять
файлы на системе.

Удаленный авторизованный пользователь
может просматривать произвольные файлы,
удалять и перемещать файлы с привилегиями
почтового сервера. Удаленный пользователь
может использовать IMAP команды и определить
имя файла (с абсолютным путем) вместо имени
почтового ящика, чтобы выполнять различные
файловые операции на определенном файле.
Например, удаленный пользователь может
использовать команду SELECT с именем файла,
чтобы просматривать файл на системе (например
‘SELECT /etc/passwd’).



Оставить мнение