VULHUB ™

Open Webmail (OWM) 2.52 20060831版本及其早期版本中存在多个跨站脚本攻击漏洞。远程攻击者可以借助(1) searchtype, (2) longpage, 和 (3) 对(a) openwebmail-main.pl的页参数; (4) prefs_caller, (5) userfirsttime, (6) page, (7) sort, (8) folder, 和 (9)对(b) openwebmail-prefs.pl的message_id参数;(10) compose_caller, (11) msgdatetype, (12) keyword, (13) searchtype, (14) folder, (15) page, 和 (16)对(c) openwebmail-send.pl的sort参数; (17) folder, (18) page, 和(19)对(d) openwebmail-folder.pl的sort参数; (20) searchtype, (21) page, (22) filesort, (23) singlepage, (24) showhidden, (25) showthumbnail, 和(26)对(e) openwebmail-webdisk.pl的message_id参数; (27)对(f) openwebmail-advsearch.pl的folder参数;和(28) abookcollapse, (29) abooksearchtype, (30) abooksort, (31) abooklongpage, (32) abookpage, (33) message_id, (34) searchtype, (35) ! msgdatetype, (36) sort, (37) page, (38) rootxowmuid, 以及(39)对(g) openwebmail-abook.pl的listviewmode参数注入任意的WEB脚本和HTML。该漏洞不同于CVE-2005-2863, CVE-2006-2190, CVE-2006-3229, and CVE-2006-3233。

Open Webmail (OWM) 2.52 20060831版本及其早期版本中存在多个跨站脚本攻击漏洞。远程攻击者可以借助(1) searchtype, (2) longpage, 和 (3) 对(a) openwebmail-main.pl的页参数; (4) prefs_caller, (5) userfirsttime, (6) page, (7) sort, (8) folder, 和 (9)对(b) openwebmail-prefs.pl的message_id参数;(10) compose_caller, (11) msgdatetype, (12) keyword, (13) searchtype, (14) folder, (15) page, 和 (16)对(c) openwebmail-send.pl的sort参数; (17) folder, (18) page, 和(19)对(d) openwebmail-folder.pl的sort参数; (20) searchtype, (21) page, (22) filesort, (23) singlepage, (24) showhidden, (25) showthumbnail, 和(26)对(e) openwebmail-webdisk.pl的message_id参数; (27)对(f) openwebmail-advsearch.pl的folder参数;和(28) abookcollapse, (29) abooksearchtype, (30) abooksort, (31) abooklongpage, (32) abookpage, (33) message_id, (34) searchtype, (35) ! msgdatetype, (36) sort, (37) page, (38) rootxowmuid, 以及(39)对(g) openwebmail-abook.pl的listviewmode参数注入任意的WEB脚本和HTML。该漏洞不同于CVE-2005-2863, CVE-2006-2190, CVE-2006-3229, and CVE-2006-3233。