Webmailové rozhraní Squirrelmail je v nejnovější verzi 1.4.22 (a starších) zranitelné vůči vzdálenému spuštění kódu. Chyba je označena jako CVE-2017–7692 a dovoluje útočníkovi spouštět na serveru vlastní příkazy a tím ovládnout cílový systém. Chybu objevil bezpečnostní analytik Dawid Golunski.
[Advisory] SquirrelMail <=1.4.22 Auth. Remote Code Exec#exploit #0day #cybersecurity #infosec #vuln #hacking #rcehttps://t.co/nqZgfrXlQB
— Dawid Golunski (@dawid_golunski) April 23, 2017
Přestože byli o problému vývojáři informováni už v lednu, zatím chybu neopravili a není jasné, zda a kdy se tak stane. Chyba se projevuje jen v případě, že je pro transport pošty v systému používán Sendmail. Nedostatečné escapování uživatelských dat pak vede k předání vlastních příkazů.
ČLÁNKY DO MAILU