漏洞标题
N/A
漏洞描述信息
"HiveMail 1.3 和更早版本中的多个 eval 注入漏洞允许远程攻击者通过(1)地址簿.update.php中的联系人组ID参数,(2)地址簿.add.php中的消息ID参数,(3)地址簿.update.php中的目录ID参数,以及可能某些参数(4)日历.event.php,(5)索引.php,(6) pop.download.php,(7)read.bounce.php,(8)规则.block.php,(9)语言.php,和(10)某些其他脚本执行任意的 PHP 代码,正如通过一个地址簿.update.php 请求,其中联系人组ID 值是 phpinfo() 之前由 facilitators 执行的示例。"
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple eval injection vulnerabilities in HiveMail 1.3 and earlier allow remote attackers to execute arbitrary PHP code via (1) the contactgroupid parameter in addressbook.update.php, (2) the messageid parameter in addressbook.add.php, (3) the folderid parameter in folders.update.php, and possibly certain parameters in (4) calendar.event.php, (5) index.php, (6) pop.download.php, (7) read.bounce.php, (8) rules.block.php, (9) language.php, and (10) certain other scripts, as demonstrated by an addressbook.update.php request with a contactgroupid value of phpinfo() preceded by facilitators.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
HiveMail多个远程安全漏洞
漏洞描述信息
HiveMail是一种流行的WebMail系统。 HiveMail的实现上存在多个输入验证漏洞,远程攻击者可能利用这些漏洞在服务器上执行多种攻击,比如任意PHP代码执行、SQL注入、获取敏感信息等。HiveMail的多个脚本对参数没有做充分的检查过滤,攻击者可以直接在参数数据中插入PHP代码、SQL语句、JavsScript代码等进行攻击。
CVSS信息
N/A
漏洞类别
授权问题