发布日期：2004-07-05
更新日期：2004-07-09

受影响系统：

Open Webmail Open Webmail 2.32
Open Webmail Open Webmail 2.31
Open Webmail Open Webmail 2.30
Open Webmail Open Webmail 2.3
Open Webmail Open Webmail 2.21
Open Webmail Open Webmail 2.20
Open Webmail Open Webmail 1.90
Open Webmail Open Webmail 1.90
Open Webmail Open Webmail 1.81
Open Webmail Open Webmail 1.81
Open Webmail Open Webmail 1.8
Open Webmail Open Webmail 1.8
Open Webmail Open Webmail 1.71
Open Webmail Open Webmail 1.71
Open Webmail Open Webmail 1.70
Open Webmail Open Webmail 1.7

描述：

---

BUGTRAQ  ID: 10667
CVE(CAN) ID: CVE-2004-0639

Open Webmail是一款开放源代码基于WEB的MAIL系统。

Open WebMail不正确过滤用户提供的EMAIL头字段字符串数据，远程攻击者可以利用这个漏洞进行跨站脚本执行攻击。

提交包含恶意脚本的EMAIL头字段数据，当目标用户使用浏览器打开时，可导致用户的验证使用的COOKIE数据泄露。或可能泄露个人EMAIL信息。

<*来源：Roman Medina-Heigl Hernandez （roman@rs-labs.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=108611554415078&w=2
*>

建议：

---

厂商补丁：

Open Webmail
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Open WebMail Upgrade Open WebMail Current
http://openwebmail.org/openwebmail/download/

浏览次数：3634
严重程度：0（网友投票）