发布日期：2002-01-24
更新日期：2002-01-25

受影响系统：

SquirrelMail SquirrelMail 1.2.2
    - Unix系统

不受影响系统：

SquirrelMail SquirrelMail 1.2.3

描述：

---

BUGTRAQ  ID: 3956
CVE(CAN) ID: CVE-2002-1648

SquirrelMail是一个用php4写的功能丰富的webmail程序。可以运行于Linux/Unix系统。

在某些SquirrelMail版本中，如果HTML格式的邮件中包含恶意内容的代码，如插入JavaScript脚本，可以导致脚本代码被执行。也可能包含其他相关SquirrelMail脚本的引用，可能导致以认证用户的身份进行恶意行为操作。

脚本compose.php在受影响用户发新邮件时存在此安全漏洞。

<*来源：Tom McAdam （tomc@future-i.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-01/0310.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时停止使用SquirrelMail。

厂商补丁：

SquirrelMail
------------
目前厂商已经发布了1.2.3版本以修复这个安全问题，请到厂商的主页下载：

http://www.squirrelmail.org

浏览次数：3094
严重程度：0（网友投票）