Программа: ArGoSoft Mail Server Pro 1.8.8.5
 
Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к
важным данным на системе.

1. Уязвимость существует из-за недостаточной обработки входных данных в
параметре "UIDL" в сценарии viewheaders в Webmail. Удаленный авторизованный
пользователь может с помощью символов обхода каталога просмотреть произвольные
файлы на системе.

Пример:

http://[host]/viewheaders?Folder=inbox&UIDL=../../../../../../[file]%00/

2. Уязвимость существует при обработке входных данных в команде "RENAME" в
службе IMAP. Удаленный авторизованный пользователь может перенести папки в
произвольные директории на системе.

3. Служба POP3 поддерживает использование команды "_DUMP". Удаленный
неавторизованный пользователь может получить доступ к системным данным.
 



Оставить мнение