InterNetNews ‘STARTTLS’明文注入漏洞 CVE-2012-3523 CNNVD-201208-424

6.8 AV AC AU C I A
发布: 2012-11-11
修订: 2013-02-22

Inn是一款网络新闻系统服务程序,可使用在多种Linux、Unix系统下,服务程序包含inews和rnews两程序。 INN 2.5.3之前版本中的nnrpd中的STARTTLS实现中存在漏洞,该漏洞源于没有正确限制I/O缓冲区。通过在已经设置了TLS的条件下发送明文命令,中间人攻击者可利用该漏洞在加密的会话中插入命令。与‘明文命令注入’攻击有关。

0%

漏洞利用/PoC

当前有2条漏洞利用/PoC

受影响的平台与产品

当前有17条受影响产品信息