Версии MailEnable до 10.55 содержат отраженную уязвимость межсайтового скриптинга в интерфейсе веб-почты, которая позволяет удаленным злоумышленникам выполнять произвольный код JavaScript в браузере жертвы, создавая вредоносный URL-адрес. Злоумышленники могут внедрить вредоносный код через параметр StartDate в форме FreeBusy.aspx, который не очищается должным образом перед внедрением в динамически создаваемый код JavaScript.
Показать оригинальное описание (EN)
MailEnable versions prior to 10.55 contain a reflected cross-site scripting vulnerability in the webmail interface that allows remote attackers to execute arbitrary JavaScript in a victim's browser by crafting a malicious URL. Attackers can inject malicious code through the StartDate parameter in the FreeBusy.aspx form, which is not properly sanitized before being embedded into dynamically generated JavaScript.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Mailenable Mailenable
cpe:2.3:a:mailenable:mailenable:*:*:*:*:standard:*:*:*
|
— |
10.55
|