В MDaemon с включенным контент фильтром
существует возможность удаленному
пользователю записать файл в произвольное
место на сервере. В этом фильтре возможен
обход каталога и письмо с файлом типа
../../../../../file.exe как раз и запишет файл в
произвольную папку на сервере. Таким
образом открывается возможность записать
произвольный файл в произвольную папку
сервера, допустим в Автозагрузку.
Уязвимость подтверждена в 8.0.4, возможна и
в предыдущих версиях.
