PT-2012-3650 · Atmail · Atmail Open-Source

Sergey Scherbel

Publicado

2012-03-27

Atualizado

2012-08-29

CVE-2012-1917

CVSS v2.0

5.0

Média

Vetor

AV:N/AC:L/Au:N/C:P/I:N/A:N

Name of the Vulnerable Software and Affected Versions AtMail Open-Source version 1.05 and earlier

Description The issue concerns the compose.php file in the @Mail WebMail Client, which does not properly handle ../ (dot dot slash) sequences in the unique parameter. This allows remote attackers to conduct directory traversal attacks and read arbitrary files via a .././ (dot dot dot slash dot slash) sequence.

Recommendations For AtMail Open-Source versions prior to 1.05, update to version 1.05 or later to resolve the issue.

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-22

Identificadores relacionados

CVE-2012-1917

Produtos afetados

Atmail Open-Source

PT-2012-3650 · Atmail · Atmail Open-Source

CVE-2012-1917

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 6