IceWarp webmail/basic/index.html _c 参数目录遍历

medium Nessus 插件 ID 51098

简介

远程 Web 服务器包含容易遭受目录遍历攻击的脚本。

描述

远程主机上安装的 IceWarp 版本受到一个目录遍历漏洞影响,原因是应用程序无法对用户向“/webmail/basic/index.html”脚本的“_c”参数中提供的输入进行正确审查。攻击者可利用此问题以 Web 服务器用户 ID 的权限在远程主机上读取任意文件。请注意,此 IceWarp 版本可能受到多个跨站脚本漏洞影响,但是 Nessus 尚未对这些漏洞进行测试。

解决方案

升级到 IceWarp 10.2.1 或更高版本。

另见

https://www.icewarp.com/whats-new/#40

插件详情

严重性: Medium

ID: 51098

文件名: icewarp_webmail_c_param_dir_traversal.nasl

版本: 1.12

类型: remote

系列: CGI abuses

发布时间: 2010/12/9

最近更新时间: 2021/1/19

支持的传感器: Nessus

漏洞信息

CPE: cpe:/a:icewarp:webmail

必需的 KB 项: www/icewarp_webmail

排除的 KB 项: Settings/disable_cgi_scanning

可利用: true

易利用性: Exploits are available

被 Nessus 利用: true

补丁发布日期: 2010/12/7

漏洞发布日期: 2010/12/7

参考资料信息

BID: 45222

Secunia: 42389