Openfind MAIL2000 Webmail Post-Auth Cross-Site Scripting

TVN 編號:TVN-201909002


公開日期

2019-11-20

影響產品

  • Mail2000 V70 SP4 < Patch 076

問題描述

在MAIL2000 v 6.0 與 v7.0 之"/cgi-bin/portal" 登入頁面下存在cross-site scripting (XSS)漏洞,在未授權的情況下可透過任何參數執行惡意程式碼。

解決方法

可參考以下官方文件:
https://www.openfind.com.tw/taiwan/download/m2k/patch/Openfind_OF-ISAC-19-003.pdf

漏洞通報者

Tony Kuo (CHT Security) Vtim (CHT Security)