SquirrelMail多个表单跨站请求伪造漏洞

添加时间:
2009-08-26

系统编号:
WAVDB-01477
BugCVE: CVE-2009-2964
BUGTRAQ: 36196

影响版本:
SquirrelMail <= 1.4.19

程序介绍:

SquirrelMail是一款PHP编写的WEBMAIL程序。

漏洞分析:

SquirrelMail没有正确地过滤用户向多个表单（发送消息、更改偏好等）所提交的内容，远程攻击者可以通过跨站请求伪造攻击执行删除邮件、发送邮件等操作。以下是受影响的页面：

functions/mailbox_display.php

src/addrbook_search_html.php

src/addressbook.php

src/compose.php

src/folders.php

src/folders_create.php

src/folders_delete.php

src/folders_rename_do.php

src/folders_rename_getname.php

src/folders_subscribe.php

src/move_messages.php

src/options.php

src/options_highlight.php

src/options_identities.php

src/options_order.php

src/search.php

src/vcard.php

解决方案:
厂商补丁：
SquirrelMail
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
http://squirrelmail.svn.sourcefo ... =rev&revision=13818

信息来源:
<*来源：Tomas Hoger （thoger@redhat.com）
链接：http://secunia.com/advisories/34627/
https://bugzilla.redhat.com/show ... =multiple&id=517312
http://www.squirrelmail.org/security/issue/2009-08-12
*>