发布日期：2002-06-13
更新日期：2002-06-14

受影响系统：

TransWARE Co. Active! mail 2.0
TransWARE Co. Active! mail 1.422
TransWARE Co. Active! mail

描述：

---

BUGTRAQ  ID: 5007
CVE(CAN) ID: CVE-2002-0950

Active! mail是一款由TransWARE Co.开发的基于WEB的EMAIL系统。

Active! mail对邮件头字段数据缺少正确充分的检查，远程攻击者可以利用此漏洞进行跨站脚本执行攻击。

当邮件头字段中包含HTML标记时Active! mail没有对数据进行正确的转换就显示信息，攻击者可以在邮件头字段中插入恶意HTML标记如<script>发送给用户，当用户查看邮件时就导致恶意脚本代码在用户端浏览器上执行，导致用户基于认证的Cookie信息泄露或进行其他非法活动。


<*来源：Keigo Yamazaki （snsadv@lac.co.jp）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-06/0108.html
*>

建议：

---

厂商补丁：

TransWARE Co.
-------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

升级到Active! mail 2.0.1.1版本:
http://www.transware.co.jp/active/download/am_download.html

浏览次数：2894
严重程度：0（网友投票）