Уязвимость в почтовой программе CommuniGatePro

07.05.2003 | 15:23
Сообщается об обнаружении уязвимости в довольно популярной Web-ориентированной почтовой программе CommuniGatePro. Обнаружена в версиях 4.0.6 и более ранних.

Суть уязвимости заключается в том, что при работе с этой почтовой системой Session ID, используемый при работе CGP WebMail для поддержания сессии, передаётся в поле REFERER HTTP-запроса, когда броузер пользователя запрашивает графические изображение или другие ресурсы, содержащиеся в HTML-сообщении.

Используя эту особенность, злоумышленник может послать сообщение с полем IMG SRC, указывающим на рисунок на своём (или доступном) сервере и, таким образом, похитить Session ID. Это позволит в дальнейшем получить полный доступ к почтовому ящику пользователя. Рекомендуется обновить CommuniGatePro до версии 4.1b2. Автором выпущен эксплоит на Perl.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://uinc.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код