Программа: HiveMail 1.3, возможно более ранние
версии
Обнаруженные уязвимости позволяют
удаленному пользователю произвести XSS
нападение, SQL-инъекцию и выполнить
произвольный PHP код на целевой системе.
1. Уязвимость существует из-за
недостаточной обработки входных данных в
параметре "contactgroupid" сценария
addressbook.update.php, параметре "messageid"
сценария addressbook.add.php и параметре "folderid"
сценария folders.update.php. Удаленный пользователь
может с помощью специально сформированного
запроса выполнить произвольный PHP код на
целевой системе с привилегиями Web сервера.
Уязвимость также существует в сценариях
calendar.event.php, index.php, pop.download.php, read.bounce.php,
rules.block.php и language.php
2. Уязвимость существует из-за
недостаточной обработки входных данных в
ссылках "$_SERVER['PHP_SELF']". Удаленный
пользователь может с помощью специально
сформированного запроса произвести XSS
нападение и выполнить произвольные SQL
команды в базе данных приложения.
