В почтовой службе белорусского портала TUT.by отсутствует проверка на авторизацию пользователя при обозначение писем как спам. В результате, злоумышленник может напаскудить любому пользователю отправив все его письма из папки INBOX в папку Trash.
Если набрать в браузере вот такую ссылку
Значение Y может быть равно конкретному номеру письма или же нескольким через запятую.
Если набрать в браузере вот такую ссылку
mail.tut.by/cgi-bin/go.cgi?address=X&folder=INBOX&server=mail.tut.by&messages=Y, где X — это имя пользователя, а Y номер письма, то соответствующее письмо будет перемещено в корзину. Значение Y может быть равно конкретному номеру письма или же нескольким через запятую.
