【漏洞预警】CNNVD关于Coremail邮件系统安全漏洞的

<返回列表

      近日,国家信息安全漏洞库(CNNVD)收到关于Coremail邮件系统非信息泄露漏洞的报送。攻击者利用该漏洞可以访问部分非授权服务接口,对接口参数进行注入,获取敏感配置文件信息等。目前,漏洞相关细节和利用代码已经公开,厂商已发布补丁进行修复,建议用户立即更新或采取临时修补方案进行防护。

一、漏洞介绍

      Coremail邮件系统是论客科技(广州)有限公司(以下简称论客公司)自主研发的大型企业邮件系统,为客户提供电子邮件整体技术解决方案及企业邮局运营服务,客户范围涵盖党政机关、高校、知名企业以及能源、电力、金融等重要行业单位,在我国境内应用较为广泛。

      Coremail邮件系统apiws模块上的部分WebService服务存在访问策略缺陷和某API服务参数存在注入缺陷,使得攻击者综合利用上述漏洞,在未授权的情况下远程访问Coremail部分服务接口,通过参数构造注入进行文件操作,并且在未授权的情况下,通过远程访问URL地址获知Coremail服务器的系统配置文件,造成数据库连接参数等系统敏感配置信息泄露。

二、危害影响

      该漏洞涉及了多个版本,具体受影响版本如下:

      Coremail XT 3.0.1至XT 5.0.9版本

三、修复建议

      目前,论客公司已发布补丁进行修复,针对Coremail XT5和Coremail XT3/CM5版本,补丁编号为CMXT5-2019-0002,程序版本号1.1.0-alpha build20190524(3813d273)。如已安装的程序包的版本号日期早于20190524,建议用户及时更新补丁:用户可以在Coremail云服务中心的补丁管理模块,根据补丁编号下载并按照操作指引进行手动更新。如有疑问,也可通过400-888-2488 或 support@coremail.cn 联系厂商售后人员提供协助。

      临时修补方法如下:

      1、在不影响使用的情况下,仅允许VPN连接后才可访问;

      2、在Web服务器(nginx/apache)上限制外网对 /mailsms 路径的访问。

      CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

      联系方式: cnnvd@itsec.gov.cn

国内免备案VPS301跳转服务器国内免备案服务器域名被墙跳转301,绕过信息安全中心不能放违反法律法规内容!(北京免备案  镇江免备案 江苏免备案 辽宁免备案vps 山东联通免备案) 
分享新闻到:

更多帮助

【漏洞预警】CNNVD关于Coremail邮件系统安全

新闻中心 2022-12-18
      近日,国家信息安全漏洞库(CNNVD)收到关于Coremail邮件系统非信息泄露漏洞的报送。攻...
查看全文

Vim 和 NeoVim 曝出高危漏洞(漏洞编号 CV

新闻中心 2022-12-17
Vim 和 NeoVim 曝出了一个允许任意代码执行的高危漏洞。漏洞编号 CVE-2019-12735,Vim 8.1.1365 和 Ne...
查看全文

中央网信办等四部委联合开展互联网网站

新闻中心 2022-12-17
中央网信办、工业和信息化部、公安部、市场监管总局 四部委联合开展互联网网站安全专项整...
查看全文