漏洞标题
N/A
漏洞描述信息
在Neon WebMail for Java 5.08之前,UpdateUserServlet在传递in_id参数时未验证,这使得远程攻击者可以修改任意用户的信息,例如修改(1)密码和(2)权限,(3)查看用户配置文件,以及(4)创建和(5)删除用户。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The updateuser servlet in Neon WebMail for Java before 5.08 does not validate the in_id parameter, which allows remote attackers to modify information of arbitrary users, as demonstrated by modifying (1) passwords and (2) permissions, (3) viewing profile settings, and (4) creating and (5) deleting users.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Neon WebMail For Java 多个输入验证漏洞
漏洞描述信息
Neon WebMail for Java before 5.08中的updateuser servlet不验证in_id参数,远程攻击者可以修改任意用户的信息,如通过修改(1)密码和(2)许可权、(3)查看配置文件设置,以及(4)创建和(5)删除用户所示。
CVSS信息
N/A
漏洞类别
授权问题