พบช่องโหว่ใน Squirrelmail Server ซึ่งเป็น Web based mail ซึ่งได้รับความนิยมและใช้กันอย่างแพร่หลาย ล่าสุดพบว่ามีช่องโหว่  Directory Traversal ทำให้สามารถขโมยข้อมูล server ออกไปได้

Florian Grunow พบช่องโหว่ Directory Traversal ใน Squirrelmail  ในส่วน attachment file ไม่ได้มีการตรวจสอบ ทำให้หากตอน upload กำหนดการอ้างอิงไฟล์เป็น “../../../../../some/file/in/server” จะทำให้สามารถ access ไฟล์ภายในเครื่องได้

โดยทาง Florian Grunow กล่าวว่าเค้าพยายามติดต่อทีม dev ของ Squirrelmail แล้วแต่ติดต่อไม่ได้ เลยทำให้ช่องโหว่ดังกล่าวยังคงไม่ถูก fix (version ล่าสุดของ Squirrelmail ปี 2013 และเห็น version ล่าสุดใน svn คือ version 2017)

หากใครใช้อยู่ต้องการ patch ก่อนที่จะออก official patch สามารถ download patch ไปใช้ได้ตาม Link

Source:: Openwall