Una vulnerabilit� scripting del traversa-luogo (XSS) � stata scoperta nel modulo del mod_imap del Apache dell'assistente del httpd che permette che gli attaccanti a distanza iniettino lo scritto di fotoricettore o il HTML arbitrario via il Referer quando usando i programmi di immagine.

L'input � passato all'indirizzamento di Referer del programma di immagine nel mod_imap correttamente non � sterilizzato prima di essere rinviato all'utente. Ci� pu� essere sfruttata per eseguire il HTML arbitrario ed il codice dello scritto nella sessione del browser dell'utente nel contesto di un luogo commovente.

La vulnerabilit� � stata segnalata nelle versioni da 1.3.0 a 1.3.34 e nelle versioni da 2.0.35 a 2.0.55.

La vulnerabilit� � stata riparata nella versione 1.3.35-dev e in 2.0.56-dev.

Collegamento

Interessa praticamente tutte le piattaforme per quanto ho potuto controllare.