From:http://www.aaibase.cn/Article/hk/201002/608.html
发现者:me 阅读全文
漏洞说明:快客电邮(QuarkMail)是北京雄智伟业科技公司推出的电子邮件系 统,被广泛用于各个领域的电子邮件解决方案(该产品的主要客户名单http://www.ipmotor.com/cases/cases.html), 其webmail部分使用perl cgi编写,近日笔者在渗透测试过程当中发现一处严重的安全漏洞,导致远程用户可以在邮件系统上以当前web权限身份下载任意文件,获取敏感配置文件(如 系统口令文件/数据库密码)从而进一步渗透主机或者系统。
