SquirrelMail不安全COOKE泄漏漏洞

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

BUGTRAQ ID: 31321 CVE ID:CVE-2008-3663 CNCVE ID:CNCVE-20083663 SquirrelMail是一款基于PHP的WEB邮件服务程序。 SquirrelMail不安全处理COOKIE数据,远程攻击者可以利用漏洞获得敏感信息,窃取COOKIE验证敏感条文,进行会话劫持攻击。 当配置WEB应用程序只使用SSL时(如转向所有HTTP请求到HTTPS),用户可以不能通过嗅探来进行截获。 要因此变的更安全,需要设置会话COOKIE标有安全标记,否则如果目标用户浏览器在同一域上只进行单个HTTP请求,COOKIE会通过HTTP传送。 Squirrelmail没有设置此标记,可导致通过HTTP传送的COOKIE被嗅探到。 SquirrelMail 1.4.15 根据报告Squirrelmail 1.5 test版本已经修正此漏洞: <a href=http://www.squirrelmail.org/ target=_blank>http://www.squirrelmail.org/</a>

0%
暂无可用Exp或PoC
当前有0条受影响产品信息