Программа: SquirrelMail
Уязвимость обнаружена в SquirrelMail. Удаленный атакующий может выполнить произвольные команды операционной системе при шифровании почтового сообщения со специально обработанным адресом в поле “to”.
Уязвимость обнаружена в переменной 'send_to_bcc' в сценарии 'gpg_encrypt.php'.Удаленный атакующий может выполнить произвольные команды операционной системы в специально обработанном поле 'To:', при нажатии на 'encrypt now'. Пример:
To: ;echo "YO, dudes. Static analysis ain't rocket science." >> /tmp/message;