VULHUB ™

IceWarp Web Mail(冰星网上邮件系统)是支持中日文邮件的Web Mail服务器引擎。 IceWarp Web Mail中存在多个输入验证漏洞，具体如下： 1) webmail和webadmin服务运行启用了register_global的PHP。在直接访问脚本时没有正确的初始化/accounts/inc/include.php和/admin/inc/include.php中的language和lang_settings变量，这可能允许覆盖变量，导致脚本包含本地或远程来源的任意PHP脚本。 2) 没有正确验证/dir/include.html中对lang参数的输入，导致可能包含本地资源的任意文件。 3) 没有正确验证/mail/settings.html中对language参数的输入，如果同覆盖lang_settings变量结合使用的话，就可能包含本地或远程资源的任意PHP脚本。 4) 如果/mail/include.html遇到了无法识别的HTTP_USER_AGENT字符串的话，就可能无法正确的初始化default_layout和layout_settings变量。同覆盖default_layout和layout_settings变量结合使用的话就可能导致泄漏本地文件内容。

IceWarp Web Mail(冰星网上邮件系统)是支持中日文邮件的Web Mail服务器引擎。 IceWarp Web Mail中存在多个输入验证漏洞，具体如下： 1) webmail和webadmin服务运行启用了register_global的PHP。在直接访问脚本时没有正确的初始化/accounts/inc/include.php和/admin/inc/include.php中的language和lang_settings变量，这可能允许覆盖变量，导致脚本包含本地或远程来源的任意PHP脚本。 2) 没有正确验证/dir/include.html中对lang参数的输入，导致可能包含本地资源的任意文件。 3) 没有正确验证/mail/settings.html中对language参数的输入，如果同覆盖lang_settings变量结合使用的话，就可能包含本地或远程资源的任意PHP脚本。 4) 如果/mail/include.html遇到了无法识别的HTTP_USER_AGENT字符串的话，就可能无法正确的初始化default_layout和layout_settings变量。同覆盖default_layout和layout_settings变量结合使用的话就可能导致泄漏本地文件内容。