Möglicher E-Mail-Klau mit SquirrelMail

Über spezielle URLs könnte ein Angreifer Zugriff auf das Webmail-Frontend SquirrelMail erlangen.

22.06.2005, 11:44 Uhr

Lesezeit: 1 Min.

Von

Jürgen Schmidt

Die Entwickler Webmail-Frontends SquirrelMail warnen vor mehreren Cross-Site-Scripting-Lücken in den Versionen 1.4.0 bis 1.4.4. Da sich diese über manipulierte URLs ausnutzen lassen, könnte ein Angreifer diese in E-Mails einbauen und an potenzielle Opfer senden.

Klickt ein Anwender auf solch eine manipulierte URL, kann der Angreifer dessen Session übernehmen und erhält somit Zugriff auf das E-Mail-Konto. Als Workaround stellen die Entwickler derzeit einen Quellcode-Patch bereit; eine aktualisierte Version 1.4.5, die das Problem behebt, soll in spätestens zwei Wochen erscheinen.

Siehe dazu auch:

Security Advisory von SquirrelMail
Cross-Site-Scripting: Datenklau über Bande, Artikel auf heise Security

(ju)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Möglicher E-Mail-Klau mit SquirrelMail

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.