ArGoSoft Mail Server Pro se ve afectado por un problema de seguridad en
el interfaz de correo Web-Mail, por el cual un atacante podría obtener
datos sensibles.
El problema en cuestión viene dado por la posibilidad de ejecución de un
javascript encubierto en un correo electrónico, ya que esta utilidad no
procede a su filtrado. Esto permitiría el robo de cookies, lo que especial
importancia debido que estas cookies también guardan los datos de usuarios
como nombre de usuario y clave en texto plano.
En el momento de escribir esta noticia sólo se ha podido verrificar la
existencia del problema en la versión 1.8.1.9 aunque posiblemente versiones
anteriores también se vean afectadas. Como medida preventiva se recomienda
la desactivación del interfaz Web-Mail.
roman@hispasec.com
Más información:
ArGoSoft Mail Server Pro E-Mail HTML Injection Vulnerability
http://online.securityfocus.com/bid/5906
