Podatność CVE-2010-1132


Publikacja: 2010-03-27   Modyfikacja: 2012-02-13

Opis:
The mlfi_envrcpt function in spamass-milter.cpp in SpamAssassin Milter Plugin 0.3.1, when using the expand option, allows remote attackers to execute arbitrary system commands via shell metacharacters in the RCPT TO field of an email message.

Typ:

CWE-78

(Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') )

CVSS2 => (AV:N/AC:M/Au:N/C:C/I:C/A:C)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
9.3/10
10/10
8.6/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Pełny
Pełny
Pełny
Affected software
Georg greve -> Spamassassin milter plugin 

 Referencje:
https://savannah.nongnu.org/bugs/?29136
https://bugzilla.redhat.com/show_bug.cgi?id=572117
http://xforce.iss.net/xforce/xfdb/56732
http://www.vupen.com/english/advisories/2010/0837
http://www.vupen.com/english/advisories/2010/0683
http://www.vupen.com/english/advisories/2010/0559
http://www.securitytracker.com/id?1023691
http://www.securityfocus.com/bid/38578
http://www.exploit-db.com/exploits/11662
http://www.debian.org/security/2010/dsa-2021
http://secunia.com/advisories/39265
http://secunia.com/advisories/38956
http://secunia.com/advisories/38840
http://osvdb.org/62809
http://lists.fedoraproject.org/pipermail/package-announce/2010-April/038777.html
http://lists.fedoraproject.org/pipermail/package-announce/2010-April/038572.html
http://lists.fedoraproject.org/pipermail/package-announce/2010-April/038535.html
http://bugs.debian.org/573228
http://archives.neohapsis.com/archives/fulldisclosure/2010-03/0139.html

Copyright 2024, cxsecurity.com

 

Back to Top