Horde IMP程序处理文件中HTML标签存在注入的漏洞
日期:2007-07-04 荐:
受影响系统:
Horde IMP <= 4.0.4详细描述: IMP是一款基于Web的强大的邮件程序,它由Horde项目组开发。可使用在Linux/Unix或者Microsoft Windows操作系统下。Horde IMP在处理文件中的HTML标签时存在漏洞,远程攻击者可能在服务器上执行恶意代码。Horde IMP在实施安全策略时会删除可能有害的HTML标签。在打印附件文件前,Horde会试图删除<script>、<link>之类的标签。但如果攻击者创建某种特定标签的话IMP就无法删除<script>脚本,导致执行攻击者所提供的HTML和脚本代码。请注意攻击仅对IE浏览器有效。
标签: