VULHUB ™

NetWin SurgeMail是新西兰NetWin公司的一款下一代电子邮件服务器。该服务器支持IMAP、POP3、SMTP等协议，并提供邮件杀毒、垃圾邮件过滤、邮件备份等功能。 SurgeMail中用于处理webmail接口(webmail.exe)的CGI存在安全漏洞，远程攻击者可能利用此漏洞控制服务器。 CGI中用于在请求错误页面时构建错误消息的函数未经验证格式参数便直接将其传送给了lvprintf： \"TPL： Failed to Locate Template {c：＼surgemail＼webmail＼panel＼\\%s\\%s\\%s\\%s\\%s\\%s.tpl}{2=No such file or directory}\" 这允许远程攻击者通过提交恶意请求执行格式串攻击。

NetWin SurgeMail是新西兰NetWin公司的一款下一代电子邮件服务器。该服务器支持IMAP、POP3、SMTP等协议，并提供邮件杀毒、垃圾邮件过滤、邮件备份等功能。 SurgeMail中用于处理webmail接口(webmail.exe)的CGI存在安全漏洞，远程攻击者可能利用此漏洞控制服务器。 CGI中用于在请求错误页面时构建错误消息的函数未经验证格式参数便直接将其传送给了lvprintf： \"TPL： Failed to Locate Template {c：＼surgemail＼webmail＼panel＼\\%s\\%s\\%s\\%s\\%s\\%s.tpl}{2=No such file or directory}\" 这允许远程攻击者通过提交恶意请求执行格式串攻击。