Thursday, May 19, 2011 10:30 AM levaja

MDaemon WorldClient Email Subject Script Insertion Vulnerability

Izašao je update za popularni mejl server MDaemon verzija 12.0.2 koji sprečava napad na korisnike WorldClient web mejla.

Zakrpljena ranjivost se ogleda u izvršavanju koda upisanog u Subject polje email poruka prilikom logovanja na WorldClient (Summary View), bez (XSS) ili sa minimalnom interakcijom korisnika(kreiranje korisnika npr.), a pod privilegijama korisnika.

 

Primer:

clip_image001

Ovde računamo da će korisnik naravno kliknuti na Yes :)

clip_image001[5]

clip_image002

 

 

http://secunia.com/advisories/44144/

http://files.altn.com/MDaemon/Release/relnotes_en.html

Leave a Comment

(required) 
(required) 
(optional)
(required) 
Are you a human?