Coremail服务未授权访问和服务接口参数注入漏洞安全通告
发布时间 2019-06-19漏洞编号和级别
CVE编号:暂无,危险级别:高危,CVSS分值:官方未评定
影响版本
适用于Coremail XT 3.0.4至 XT 5.0.8A版本。
漏洞概述
Coremail邮件系统是论客科技(广州)有限公司(以下简称论客公司)自主研发的大型企业邮件系统,Coremail不但为网易(126、163、yeah)、移动,联通等知名运营商提供电子邮件整体技术解决方案及企业邮局运营服务,还为石油、钢铁、电力、政府、金融、教育、尖端制造企业等用户提供邮件系统软件和反垃圾服务。
Coremail邮件系统存在服务未授权访问漏洞(CNVD-C-2019-78549)和服务接口参数注入漏洞(CNVD-C-2019-78550)。Coremail邮件系统apiws模块上的部分WebService服务存在访问策略缺陷和某API服务参数存在注入缺陷,使得攻击者综合利用上述漏洞,在未授权的情况下远程访问Coremail部分服务接口,通过参数构造注入进行文件操作。
漏洞验证
暂无POC/EXP。
修复建议
目前,论客公司已发布补丁进行修复:
2、针对Coremail XT5,补丁编号为CMXT5-2019-0001,程序版本号XT5.0.9a build 20190604(696d1518)。
如已安装的程序包的版本号日期早于20190604,建议用户及时更新补丁:用户可以在Coremail云服务中心的补丁管理模块,根据补丁编号下载并按照操作指引进行手动更新。
临时修补方案如下:
1、在不影响正常使用的情况下,通过部署VPN服务限制对Coremail服务器的公网访问;
2、在Web服务器(nginx/apache)上限制外网对 /apiws 路径的访问。
建议使用Coremail产品构建邮件服务的信息系统运营者,立即自检,发现存在漏洞及时修复。
参考链接
京公网安备11010802024551号