Vulnerabilidad en Forgot Password en serverwebmail.php en IceWarp eMail Server y WebMail Server (CVE-2009-1469)

Gravedad CVSS v2.0:

MEDIA

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

05/05/2009

Última modificación:

10/10/2018

Descripción

Vulnerabilidad de inyección CRLF en la implementación Forgot Password en server/webmail.php en IceWarp eMail Server y WebMail Server anterior a v9.4.2 hace mas facil para atacantes remotos engañar a un usuario para la revelación de credenciales a través de secuencias CRLF precediendo una cabecera de respuesta en el elemento "subject" de un documento XML, como se demostró mediante el envío de un mensaje de correo electrónico que contenga las credenciales de usuario desde el servidor, las peticiones para componer la respuesta al usuario, incluyen este mensaje.

Impacto

Vector 2.0

AV:N/AC:M/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0

4.30

Gravedad 2.0

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:icewarp:email_server::::::::		9.3.0 (incluyendo)
cpe:2.3:a:icewarp:email_server:2.10.105:::::::*
cpe:2.3:a:icewarp:email_server:2.10.110:::::::*
cpe:2.3:a:icewarp:email_server:2.10.115:::::::*
cpe:2.3:a:icewarp:email_server:2.10.140:::::::*
cpe:2.3:a:icewarp:email_server:2.10.150:::::::*
cpe:2.3:a:icewarp:email_server:2.10.165:::::::*
cpe:2.3:a:icewarp:email_server:2.10.170:::::::*
cpe:2.3:a:icewarp:email_server:2.10.190:::::::*
cpe:2.3:a:icewarp:email_server:2.10.200:::::::*
cpe:2.3:a:icewarp:email_server:2.10.210:::::::*
cpe:2.3:a:icewarp:email_server:2.10.220:::::::*
cpe:2.3:a:icewarp:email_server:2.10.240:::::::*
cpe:2.3:a:icewarp:email_server:2.10.250:::::::*
cpe:2.3:a:icewarp:email_server:2.10.260:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:a:icewarp:email_server::::::::		9.3.0 (incluyendo)
cpe:2.3:a:icewarp:email_server:2.10.105:::::::*
cpe:2.3:a:icewarp:email_server:2.10.110:::::::*
cpe:2.3:a:icewarp:email_server:2.10.115:::::::*
cpe:2.3:a:icewarp:email_server:2.10.140:::::::*
cpe:2.3:a:icewarp:email_server:2.10.150:::::::*
cpe:2.3:a:icewarp:email_server:2.10.165:::::::*
cpe:2.3:a:icewarp:email_server:2.10.170:::::::*
cpe:2.3:a:icewarp:email_server:2.10.190:::::::*
cpe:2.3:a:icewarp:email_server:2.10.200:::::::*
cpe:2.3:a:icewarp:email_server:2.10.210:::::::*
cpe:2.3:a:icewarp:email_server:2.10.220:::::::*
cpe:2.3:a:icewarp:email_server:2.10.240:::::::*
cpe:2.3:a:icewarp:email_server:2.10.250:::::::*
cpe:2.3:a:icewarp:email_server:2.10.260:::::::*

Vulnerabilidad en Forgot Password en serverwebmail.php en IceWarp eMail Server y WebMail Server (CVE-2009-1469)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información