摘要：Magic Winmail Server(http://www.magicwinmail.net/)是一个企业类邮件服务软件系统，提供强大特色设置，包含大范围的安全手段。
Winmail服务提供SMTP, POP3, IMAP, Webmail, LDAP,多域，SMTP验证，spam保护，反病毒保护，SSL/TLS安全，网络存储，
远程操作，基于网站管理，和一个宽的标准email选择排列，如：过滤，署名
实时监控，归档，公共email文件夹。

Magic Winmail服务器的Winmail服务，IMAP服务，FTP服务存在多处漏洞。Winmail服务器的基于PHP的Webmail存在多处漏洞，利用这个漏洞可以从服务器上下载任意文件，上传文件到任意目录
实现跨站脚本攻击（XSS）。Winmail 服务器的IMAP服务存在目录遍历漏洞给恶意用户有能力读取任意用户的邮件，可以建立或删除任意服务器上的文件，并且从服务器上重新得到任意文件。
另外，Winmail服务器的FTP服务在端口命令下没有对IP进行验证。这可以被利用在FTP服务器上进行端口扫描。

测试系统
Magic Winmail服务器版本 4.0 Build 1112
系统：英文版Win2K SP4 和 WinXP SP2

细节：
1. Webmail 漏洞
2. download.php目录遍历允许任意文件下载

a. download.php脚本允许用户下载他/她的email文件附件。对输入参数缺少过滤，导致一个登陆邮件用户提交一个特殊构造的输入参数到download.php可以从这个服务器重新找回任意文件。
b. upload.php目录遍历允许文件上传到任意目录。

upload.php脚本允许邮件用户当写邮件时上传邮件文件附件。对提交的文件名缺少验证，允许登陆邮件用户上传文件到服务器的任意位置。
这就会被利用来上传任意PHP脚本到webmail目录。成功利用此漏洞在默认安装的Winmail服务器上将会允许以本地系统权限来执行任意PHP代码。

c. 当显示邮件用户的个人信息Webmail网站管理存在跨站脚本漏洞

/admin/user.php脚本允许Webmail管理员浏览Webmail用户的用户名，全名，描述，和公司名字。一个恶意用户可能使用userinfo.php，输入javascript在他自己的个人信息中。原因在于没有过滤HTML特殊字符。当管理员浏览到/admin/user.php，那么这些javascript将执行Webmail
管理员的浏览器。这些javascripts可能被构造来偷管理员的session cookie等等。

2. IMAP 服务目录遍历漏洞

目录遍历漏洞存在于几个Winmail服务器的IMAP命令中。这些漏洞命令可能被登陆的恶意用户利用在服务器上读取任意用户邮件，建立或删除任意目录，
或者重新找回任意文件。IMAP命令如CREATE，EXAMINE, SELECT 和 DELETE都受这个漏洞的影响。

3. FTP服务端口命令漏洞

Winmail服务器的FTP服务对在端口命令下提供的IP地址没有验证。这可能用一个和登陆用户IP不一样的IP发出端口命令。这将导致利用该漏洞可以从FTP服务器执行端口扫描。

解决方法：升级到4.0 (Build 1318).

暴露 时间表

2005-1-15 发现漏洞
2005-1-16 用Email和网站形式通知厂商
2005-1-16 厂商回复
2005-1-27 从厂商那里收到修复版本的email
2005-1-27 公开发布