Podatność CVE-2019-15071


Publikacja: 2019-11-20   Modyfikacja: 2019-11-24

Opis:
The "/cgi-bin/go" page in MAIL2000 through version 6.0 and 7.0 has a cross-site scripting (XSS) vulnerability, allowing execution of arbitrary code via ACTION parameter without authentication. The code can executed for any user accessing the page. This vulnerability affects many mail system of governments, organizations, companies and universities.

Typ:

CWE-79

(Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting'))

CVSS2 => (AV:N/AC:M/Au:N/C:N/I:P/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
4.3/10
2.9/10
8.6/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Brak
Częściowy
Brak
Affected software
Openfind -> Mail2000 

 Referencje:
https://gist.github.com/chtsecurity/21119b393640bea1d010ab9e3bee216d
https://gist.github.com/tonykuo76/95638395e0c83e68dbd3db0fa0184e27
https://tvn.twcert.org.tw/taiwanvn/TVN-201909001
https://www.chtsecurity.com/download/5011077112c76fb73f82d7eeb2b41b3bcd06c5037be242fec7b185603ca52dc1.txt
https://www.openfind.com.tw/taiwan/download/m2k/patch/Openfind_OF-ISAC-19-004.pdf
https://www.openfind.com.tw/taiwan/download/m2k/patch/Openfind_OF-ISAC-19-005.pdf
https://www.openfind.com.tw/taiwan/resource.html
https://www.twcert.org.tw/en/cp-128-3085-45bda-2.html

Copyright 2024, cxsecurity.com

 

Back to Top