发布日期：2000-08-30
更新日期：2000-08-30

受影响系统：

Stalkerlab Mailers 1.1.2
    - Microsoft Windows NT 4.0

描述：

---

BUGTRAQ  ID: 1623
CVE(CAN) ID: CVE-2000-0726

Mailers是Stalker Lab的一个WEBMAIL产品，其中包含了一个叫cgimail.exe的程序，用于把用户提交表单的内容转换为一个email。

cgimail.exe实现上存在输入验证漏洞，远程攻击者可能利用此漏洞获得服务器上的任意文件。

该程序未对从表单中提交上来的变量$To$、$Attach$、$File$内容进行检查，导致攻击者可以把服务器上的任意有权限访问的文件以附件的形式发送给自己。


<*来源：Sverre H. Huseby （shh@thathost.com）
  *>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时禁止该程序的使用。

厂商补丁：

Stalkerlab
----------
现在厂商已经关闭，该产品已得不到支持，建议使用其它产品。

浏览次数：5848
严重程度：0（网友投票）