发布日期：2002-01-23
更新日期：2002-01-25

受影响系统：

Matt Wright FormMail 1.9
Matt Wright FormMail 1.8
Matt Wright FormMail 1.7
Matt Wright FormMail 1.6
Matt Wright FormMail 1.5
Matt Wright FormMail 1.4
Matt Wright FormMail 1.3
Matt Wright FormMail 1.2
Matt Wright FormMail 1.1
Matt Wright FormMail 1.0

描述：

---

BUGTRAQ  ID: 3955
CVE(CAN) ID: CVE-2002-1771

FormMail是一款使用广泛的基于WEB的邮件网关，允许基于表单输入邮寄个指定用户。用perl实现，可以运行于大多数的Linux/Unix以及Microsoft Windows等多种系统平台。

由于缺少对邮件和实名CGI变量的充分检查，可以导致远程攻击者发送匿名邮件给任何用户。

通过给SMTP头的附加域如CC:、BCC;或者TO:提交这些实名CGI变量可以进行匿名发送。

<*来源：Ronald F. Guilmette （rfg@monkeys.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-01/0307.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 设定对FormMail的访问权限，确认只有可信用户能够访问。

厂商补丁：

Matt Wright
-----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

浏览次数：3098
严重程度：0（网友投票）