发布日期：2004-05-04
更新日期：2004-05-09

受影响系统：

OMail OMail webmail 0.98.5
OMail OMail webmail 0.98.3
OMail OMail webmail 0.97.3

描述：

---

BUGTRAQ  ID: 10274
CVE(CAN) ID: CVE-2004-1993

Omail是一款由perl编写的结合qmail的WEB邮件系统。

Omail由于未能正确过滤用户提供的包含SHELL元字符的URI参数，远程攻击者可以利用这个漏洞以WEB进程权限在系统上执行任意命令。

omail.pl虽然对"和'字符进行了过滤，但对SHELL元字符没有任何检查，可导致攻击者提交类似$(rm -rf /)的命令以WEB进程权限执行。

<*来源：Thijs Dalhuijsen （thijs@dalhuijsen.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=108377215015515&w=2
*>

建议：

---

厂商补丁：

OMail
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://omail.omnis.ch/

浏览次数：2956
严重程度：0（网友投票）