Geschrieben von Raser am 23.12.2002 um 21:47:
[PHP-Nuke] Angreifer können die E-Mail-Policy umgehen
PHP-Nuke ist ein weitverbreitetes Open Source Content Management System. PHP-Nuke beeinhaltet ein Modul für Web-basierte E-Mail.
PHP-Nuke unterzieht bestimmte Felder des Mail-Formulars einer unzureichenden Formatkontrolle. Ein entfernter Angreifer kann CR LF-Steuerzeichen in das Feld, dass seine E-Mail-Adresse enthält einfügen. Zwischen diesen Zeichen kann er eine weitere E-Mail Nachricht mit beliebigen Daten entsprechend formattiert einbauen, die der PHP-Nuke-Server dann als eigenständige Mail interpretiert und auch an beliebige Adressaten versendet. Hierdurch können Restriktionen der Mail-Policy des Servers unterlaufen werden. quelle:
www.security-guide.de