Программа: Gordano Messaging Suite (GMS) version 9, build 3138
Несколько уязвимостей обнаружено в почтовом сервере Gordano
Messaging Suite (GMS). Удаленный пользователь может аварийно завершить
работу Web службы. Удаленный авторизованный пользователь может раскрыть
системную информацию. Удаленный пользователь может послать HTTP GET запрос, типа "/../.." к GMS
web серверу на 80 TCP порту, чтобы аварийно завершить работу 'www.exe'
процесса.
Также удаленный авторизованный пользователь может запросить сценарий
'alertlist.mml', чтобы раскрыть системную информацию, включающую имена
пользователей, домены, время входа в систему и др. информацию.
Пример:
1. $ telnet 192.168.1.69
Trying 192.168.1.69...
Connected to 192.168.1.69
Escape character is '^]'.
GET /../.. HTTP/1.0
2. http://[target]:8000/admin/reports/alertlist.mml
