CVE-2009-2964: SquirrelMail CSRF漏洞分析

漏洞关键信息 漏洞编号: Bug 517312 CVE编号: CVE-2009-2964 漏洞类型: CSRF (跨站请求伪造) 受影响软件: SquirrelMail 影响版本: 1.4.19-2.fc10 及更早版本 修复措施: 更新至1.4.19-2.fc11 或者 newer 修复时间: 2009-08-20 影响系统: Fedora 10, Fedora 11 修复公告: RHSA-2009:1490 漏洞概述 SquirrelMail 未对跨站请求伪造（CSRF）攻击实施防护措施，恶意用户可以利用此漏洞，例如：更改用户偏好设置、删除邮件、甚至在用户访问恶意网页时，向用户发送邮件。 具体受影响的脚本 SquirrelMail 1.4.19及更早版本中的多种功能容易受到CSRF攻击，包括邮件发送和偏好设置更改等功能，涉及的脚本有： 1. mailbox_display.php 2. src/addbook_search_html.php 3. src/addressbook.php 4. src/compose.php 5. src/folders.php 6. src/folders_create.php 7. src/folders_delete.php 8. src/folders_rename.php 9. src/folders_rename_getname.php 10. src/folders_subscribe.php 11. src/move_messages.php 12. src/options.php 13. src/options_highlight.php 14. src/options_identities.php 15. src/options_order.php 16. src/search.php 17. src/vcard.php

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2009-2964: SquirrelMail CSRF漏洞分析

目标达成感谢每一位支持者 — 我们达成了 100% 目标！