CVE-2018-14950 CVE-2018-14951 CVE-2018-14952 CVE-2018-14953 CVE-2018-14954 CVE-2018-14955

●概述：
松鼠郵遞為open-source免費軟體，早期以PHP開發webmail client，本身即完整郵件系統，輔以200餘種plugin彈性搭配，後以C語言設計IMAP proxy server，兼能跨OS平台支援SMTP、IMAP，因無須結合SQL server且相容於主流瀏覽器、標準郵件伺服器，重視維管便利性者，易傾向安裝之，前印度總理辦公室曾因安全顧慮而淘汰Outlook Express，替之以SquirrelMail，如今更迭遲緩而光輝不再。經分析指出存在多項XSS破綻，因magicHTML函數原始設計未納入html tag語法過濾功能，遠端駭客可在郵件安排svg、form action、math等指令，利用表單動作屬性、可縮放向量圖屬性，實行跨站台腳本攻擊，待收件人點擊閱覽新郵件頁面，旋即在受害者瀏覽器執行惡意script，可能偷取cookie等憑證資料，由於SquirrelMail遍及50餘種語系地區，且其財務吃緊，維護應處能力已不復存，相關弱點列為高度危險，建議使用者升級至1.4.23-svn版並搭配Hanno Böck自行編撰修補檔，或許支持者可考量替代軟體。

●編註：
(1)探勘實務
在SquirrelMail郵件系統，mime.php內函數magicHTML( )因設計瑕疵，未篩檢特定tag語法，故駭客有多種途徑製造cross-site scripting，前置準備為開啟其他郵件系統client端(如果駭客用SquirrelMail建立惡意信件，則XSS會直接對本機生效)，使用HTML mode新增信件，編輯內文時插入下列tag範例：

任何一種方式藏在郵件，送至squirrelmai收信對象，只要設法說服受害者點閱來信，滑鼠按下開啟新郵件瞬間，則成功發動cross-site scripting入侵，可能竊取cookie相關憑證資料。
(2)風險評估
德國Hanno Böck長期關注SquirrelMail，多次分享自創修補檔，造福其他松鼠郵遞用戶，本次亦然，甚至Hanno Böck告知SquirrelMail Project Team弱點及提供修補程式碼，維護者僅回應仍辦理中，且未採用其patch方式，SquirrelMail開發團隊在官網security網頁，仍未更新一系列漏洞資料，很特別地，其security網頁無法在首頁找到任何link，要直接輸入網址才能閱覽，疑似不欲公開。
就事實觀之，前次版本1.4.22係2011年作品，歷時7載至今年8月始發表1.4.23-svn版，版本更迭遲緩，且隱匿安全議題網頁，其網站竟勸募資金，顯然迫切需要金援，應是財務受挫，當初立志開發可量身訂做的webmail，此刻熱忱難以為繼，實無法寄望SquirrelMail後續維護，另Hanno Böck自承所開發修補未盡理想，但已盡其所能，還強調1.4.22版漏洞百出，務必安裝最新1.4.23-svn版再行修補。
據資SquirrelMail已譯成50多種語言，每月有數萬次下載之人氣，畢竟輕巧的SquirrelMail webmail在頻寬有限的網路環境仍有優勢，可見用戶族群仍具規模，故受害面廣，危險性高，長期依賴SquirrelMail工作者宜自求多福。
(3)勘誤說明
據Cisco安全中心公告(網址：https://tools.cisco.com/security/center/viewAlert.x?alertId=58646)，陳述SquirrelMail 1.4.23-svn為升級軟體，已解決相關缺失，實則不然，因為本文XSS探勘測試目標即為最新1.4.23-svn版，只是該版SquirrelMail發表時間，接近漏洞編號CVE註冊日期(8月5日)而已，若在其他商業軟體常態，的確昇級版本會與CVE公開時機緊鄰，但SquirrelMai非營利用途，其常態為牛步化，此次Cisco誤判SquirrelMail升級專案係針對特定漏洞為之，純屬巧合。

SquirrelMail 1.4.23以前版本

(1)連結http://squirrelmail.org/download.php，先下載SquirrelMail 1.4.23-svn穩定版快照。
(2)原開發團隊仍無修補，然Hanno Böck私人編撰修補程式碼已公布，參考https://github.com/hannob/squirrelpatches。