Hlavní navigace

Squirrelmail 1.4.22 je vzdáleně zranitelný, oprava zatím neexistuje

Petr Krčmář

Webmailové rozhraní Squirrelmail je v nejnovější verzi 1.4.22 (a starších) zranitelné vůči vzdálenému spuštění kódu. Chyba je označena jako CVE-2017–7692 a dovoluje útočníkovi spouštět na serveru vlastní příkazy a tím ovládnout cílový systém. Chybu objevil bezpečnostní analytik Dawid Golunski.

Přestože byli o problému vývojáři informováni už v lednu, zatím chybu neopravili a není jasné, zda a kdy se tak stane. Chyba se projevuje jen v případě, že je pro transport pošty v systému používán Sendmail. Nedostatečné escapování uživatelských dat pak vede k předání vlastních příkazů.

Našli jste v článku chybu?