发布日期：2002-05-03
更新日期：2002-05-09

受影响系统：

SquirrelMail SquirrelMail 1.2.5
SquirrelMail SquirrelMail 1.2.3
SquirrelMail SquirrelMail 1.2.2
SquirrelMail SquirrelMail 1.2.1
SquirrelMail SquirrelMail 1.2.0

不受影响系统：

SquirrelMail SquirrelMail 1.2.6

描述：

---

BUGTRAQ  ID: 4666
CVE(CAN) ID: CVE-2002-2086

SquirrelMail是一款由PHP实现的WEBMAIL程序，可使用在多种Linux和Unix操作系统下。

SquirrelMail对HTML文件附件的数据缺少充分正确的检查，可导致攻击者进行跨站脚本执行攻击。

攻击者可以在SquirrelMail的HTML文件附件输入包含恶意脚本代码，由于SquirrelMail在HTML文件中的内容没有对脚本代码标记进行过滤，用户查看包含恶意代码的HTML邮件时，可导致代码在浏览用户浏览器上执行，使用户基于Cookie认证的敏感信息泄露。

<*来源：Nick Cleaton
  
  链接：http://sourceforge.net/mailarchive/message.php?msg_id=1418037
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 修改程序，严格过滤用户输入的数据，不允许ＪavaＳcript脚本或对<>字符进行转换。

* 设置浏览器禁用JavaScript。

厂商补丁：

SquirrelMail
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

升级程序到squirrelmail-1.2.6版本：

SquirrelMail Upgrade squirrelmail-1.2.6
http://www.squirrelmail.org/download.php

浏览次数：3023
严重程度：0（网友投票）