Thursday, May 19, 2011 10:30 AM
levaja
MDaemon WorldClient Email Subject Script Insertion Vulnerability
Izašao je update za popularni mejl server MDaemon verzija 12.0.2 koji sprečava napad na korisnike WorldClient web mejla.
Zakrpljena ranjivost se ogleda u izvršavanju koda upisanog u Subject polje email poruka prilikom logovanja na WorldClient (Summary View), bez (XSS) ili sa minimalnom interakcijom korisnika(kreiranje korisnika npr.), a pod privilegijama korisnika.
Primer:
Ovde računamo da će korisnik naravno kliknuti na Yes :)
![clip_image001[5]](http://msforge.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/levaja/clip_5F00_image0015_5F00_thumb_5F00_03D26271.jpg "clip_image001[5]")
http://secunia.com/advisories/44144/
http://files.altn.com/MDaemon/Release/relnotes_en.html