Программа: SquirrelMail версии до 1.4.4
Уязвимость позволяет злоумышленнику
выполнить произвольные команды на уязвимой
системе и произвести XSS атаку. Некоторые
переменные в сценарии 'src/webmail.php' позволяют
удаленному пользователю с помощью
специально сформированных параметров
произвести php никлюдинг и выполнить
произвольные команды на системе с
привилегиями web сервера. Удаленный
пользователь может с помощью специально
сформированного URL произвести XSS нападение
и получить доступ к важным данным
пользователей. Уязвимость существует в
сценарии 'src/webmail.php'. Отсутствие
инициализации переменных в файле 'functions/prefs.php'
позволяет удаленному пользователю
инклюдинг и выполнение произвольных php
сценариев при включенной опции register_globals в
конфигурационном файле php.ini.
