发布日期：2003-12-09
更新日期：2003-12-15

受影响系统：

CalaCode @mail Webmail System 3.52 Demo

描述：

---

BUGTRAQ  ID: 9180

@Mail是一款EMAIL解决方案，允许用户通过WEB或无线设备访问邮件资源。

@Mail存在多个漏洞，允许远程攻击者进行目录遍历、SQL注入、会话劫持、跨站脚本执行等攻击。

@Mail可以允许两种方式安装，一是平坦文件模式，二是SQL数据库安装。在平坦文件模式下存在输入验证错误，'showmail.pl'不正确验证'Folder'请求参数，允许攻击者请求指向任何注册用户的邮箱。而SQL数据库安装的模式存在多个SQL注入问题，由于对用户提交的输入在进行SQL查询前没有进行过滤，提交恶意SQL命令给'atmail.pl', 'search.pl', 'reademail.pl'脚本可允许攻击者读取任意EMAIL地址的任意EMAIL消息。

另外SQL数据安装模式下存在会话劫持问题，当用户通过WEB接口登录到@Mail系统时，其会话ID和邮箱名保存在COOKIE中，修改邮箱名可以允许攻击者访问目标用户邮箱。

系统包含的'showmail.pl'对参数数据缺少充分过滤，通过注入恶意脚本代码并诱使用户访问，可窃取会话ID等敏感信息，并利用这信息访问目标用户邮箱。

<*来源：Nick Gudov （cipher@s-quadra.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=107099010027861&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Nick Gudov （cipher@s-quadra.com）提供了如下测试方法：

victim@somehost.com/mbox/Inbox" target="_blank">http://www.example.com/showmail.pl?Folder=../../victim@somehost.com/mbox/Inbox

victim@atmail.com&print=1" target="_blank">http://www.example.com/reademail.pl?id=666&folder=qwer'%20or%20EmailDatabase_v.Account='victim@atmail.com&print=1

http://www.example.com/parse.pl?file=html/english/xp/xplogin.html

http://www.example.com/showmail.pl?Folder=<script>alert(document.cookie)</script>

建议：

---

厂商补丁：

CalaCode
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.atmail.com/

浏览次数：2635
严重程度：0（网友投票）