VULHUB ™

Endymion MailMan是一款基于WEB的邮件应用程序，运行在多种Unix和Linux系统平台下，也可运行于Windows平台下，由PERL脚本语言实现。 Endymion MailMan实现上存在输入验证漏洞，可导致任意文件内容被泄露问题。 由于Endymion MailMan对用户提交给ALTERNATE_TEMPLATES CGI 变量的输入没有过滤，导致程序存在目录遍历问题，远程攻击者可以通过提交包含连续(../)并在请求文件名后追加NULL字符(\\%00)的HTTP请求，可导致突破wwwroot目录限制并以MailMan的权限读取目标系统上的任意文件内容。

Endymion MailMan是一款基于WEB的邮件应用程序，运行在多种Unix和Linux系统平台下，也可运行于Windows平台下，由PERL脚本语言实现。 Endymion MailMan实现上存在输入验证漏洞，可导致任意文件内容被泄露问题。 由于Endymion MailMan对用户提交给ALTERNATE_TEMPLATES CGI 变量的输入没有过滤，导致程序存在目录遍历问题，远程攻击者可以通过提交包含连续(../)并在请求文件名后追加NULL字符(\\%00)的HTTP请求，可导致突破wwwroot目录限制并以MailMan的权限读取目标系统上的任意文件内容。