Inicio / Alerta Temprana / Avisos Seguridad / Ejecución de comandos arbitrarios en Squirremail

Ejecución de comandos arbitrarios en Squirremail

Fecha de publicación: 
16/05/2017
Importancia: 
4 - Alta
Recursos afectados: 

Squirremail 1.4.22

Descripción: 

Se ha publicado una vulnerabilidad en Squirremail que podría permitir a un usuario remoto autenticado ejecutar comandos arbitrarios del sistema operativo que ejecute el software vulnerable. 

Solución: 

Hay disponible una actualización del software que resuelve esta vulnerabilidad. 

Detalle: 

La vulnerabilidad existe en la función initStream que utiliza escapeshellcmd() para verificación de parámetros del comando sendmail antes de ejecutarlo, que no escapa correctamente los espacios en blanco lo que podría permitir la inyección de código arbitrario. Para explotar esta vulnerabilidad el atacante debe tener un usuario autenticado en el sistema afectado.