ArGoSoft Mail Server 多个远程漏洞(XSS、DoS、遍历)
high Nessus 插件 ID 11659
语言:
简介
远程主机正在运行受到多个远程漏洞影响的邮件服务器。描述
远程主机正在运行 ArGoSoft 网络邮件界面。据报告,远程主机上的版本受到多个远程漏洞的影响:- 一个目录遍历漏洞允许远程用户访问主机上的所有文件。
- 存在一个拒绝服务漏洞,该漏洞可允许具有常规用户特权的远程攻击者创建将消耗所有系统资源的邮件循环情况。
- 因未正确审查电子邮件消息中的 HTML 所造成的 HTML 注入漏洞。
- 由于 ArGoSoft 的免费版本未能执行充分的身份验证,便授权用户管理界面的访问权限,因而存在身份验证绕过漏洞。
- 免费软件版本中的拒绝服务漏洞。攻击者可通过尝试使用过长的名称创建新用户来利用此漏洞。
*** Nessus 仅依赖此服务的标题来发布
*** 此警报。
解决方案
据报告,升级至 ArGoSoft 1.8.3.5 或更高版本可修复该问题。另见
https://seclists.org/bugtraq/2002/Oct/89
https://seclists.org/bugtraq/2002/Aug/82
https://www.argosoft.com/rootpages/MailServer/ChangeList.aspx
插件详情
严重性: High
ID: 11659
文件名: argosoft_multiple_flaws.nasl
版本: 1.20
类型: remote
系列: CGI abuses
发布时间: 2003/5/28
最近更新时间: 2021/1/19
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 4.2
CVSS v2
风险因素: High
基本分数: 7.8
时间分数: 6.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
漏洞信息
可利用: true
易利用性: No exploit is required
漏洞发布日期: 2002/7/4