Vulnerabilidad en el parámetro ACTION en la página "/cgi-bin/go" en MAIL2000. (CVE-2019-15071)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
20/11/2019
Última modificación:
22/11/2019
Descripción
La página "/cgi-bin/go" en MAIL2000 versiones hasta 6.0 y 7.0, tiene una vulnerabilidad de tipo cross-site scripting (XSS), permitiendo una ejecución de código arbitrario por medio del parámetro ACTION sin autenticación. El código puede ser ejecutado por cualquier usuario que acceda a la página. Esta vulnerabilidad afecta a muchos sistemas de correo de gobiernos, organizaciones, empresas y universidades.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openfind:mail2000:*:*:*:*:*:*:*:* | 6.0 (incluyendo) | 7.0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://gist.github.com/chtsecurity/21119b393640bea1d010ab9e3bee216d
- https://gist.github.com/tonykuo76/95638395e0c83e68dbd3db0fa0184e27
- https://tvn.twcert.org.tw/taiwanvn/TVN-201909001
- https://www.chtsecurity.com/download/5011077112c76fb73f82d7eeb2b41b3bcd06c5037be242fec7b185603ca52dc1.txt
- https://www.openfind.com.tw/taiwan/download/m2k/patch/Openfind_OF-ISAC-19-004.pdf
- https://www.openfind.com.tw/taiwan/download/m2k/patch/Openfind_OF-ISAC-19-005.pdf
- https://www.openfind.com.tw/taiwan/resource.html
- https://www.twcert.org.tw/en/cp-128-3085-45bda-2.html