VULHUB ™

IMP是一款基于Web的强大的邮件程序，它由Horde项目组开发。可使用在Linux/Unix或者Microsoft Windows操作系统下。 Horde IMP没有充分过滤用户提交传递给SQL查询的输入，远程攻击者可以利用这个漏洞进行SQL注入攻击，可能破坏数据库或获得数据库信息等其他恶意活动。 漏洞存在于数据库文件lib/db.＜databasename＞中的部分数据库函数，如db.pgsql中的check_prefs： $sql=\"select username from $default-＞db_pref_table where username=\'\'$user@$server\'\'\"; 在没有任何输入检查的情况下，直接把用户提交的数据传递给SQL查询，攻击者提交精心构建的恶意URI请求，可修改，破坏数据库内容，或进行其他非法活动。

IMP是一款基于Web的强大的邮件程序，它由Horde项目组开发。可使用在Linux/Unix或者Microsoft Windows操作系统下。 Horde IMP没有充分过滤用户提交传递给SQL查询的输入，远程攻击者可以利用这个漏洞进行SQL注入攻击，可能破坏数据库或获得数据库信息等其他恶意活动。 漏洞存在于数据库文件lib/db.＜databasename＞中的部分数据库函数，如db.pgsql中的check_prefs： $sql=\"select username from $default-＞db_pref_table where username=\'\'$user@$server\'\'\"; 在没有任何输入检查的情况下，直接把用户提交的数据传递给SQL查询，攻击者提交精心构建的恶意URI请求，可修改，破坏数据库内容，或进行其他非法活动。