首页 > 清静研究 > 清静转达 > 清静通告

Coremail效劳未授权会见和效劳接口参数注入误差清静通告

宣布时间 2019-06-19

误差编号和级别

CVE编号：暂无，，，，，危险级别：高危，，，，，CVSS分值：官方未评定

影响版本

受影响的版本

适用于Coremail XT 3.0.4至 XT 5.0.8A版本。。。。

误差概述

Coremail邮件系统是论客科技（广州）有限公司（以下简称论客公司）自主研发的大型企业邮件系统，，，，，Coremail不但为网易（126、163、yeah）、移动，，，，，联通等着名运营商提供电子邮件整体手艺解决计划及企业邮局运营效劳，，，，，还为石油、钢铁、电力、政府、金融、教育、尖端制造企业等用户提供邮件系统软件和反垃圾效劳。。。。

Coremail邮件系统保存效劳未授权会见误差（CNVD-C-2019-78549）和效劳接口参数注入误差（CNVD-C-2019-78550）。。。。Coremail邮件系统apiws�？？？？樯系牟糠諻ebService效劳保存会见战略缺陷和某API效劳参数保存注入缺陷，，，，，使得攻击者综合使用上述误差，，，，，在未授权的情形下远程会见Coremail部分效劳接口，，，，，通过参数结构注入举行文件操作。。。。

误差验证

暂无POC/EXP。。。。

修复建议

现在，，，，，论客公司已宣布补丁举行修复：

1、针对Coremail XT3/CM5版本，，，，，补丁编号为CMXT3-2019-0001，，，，，程序版本号XT3.0.8 dev build 20190610(cb3344cf)；；；
2、针对Coremail XT5，，，，，补丁编号为CMXT5-2019-0001，，，，，程序版本号XT5.0.9a build 20190604(696d1518)。。。。
如已装置的程序包的版本号日期早于20190604，，，，，建议用户实时更新补�。。。。河没Э梢栽贑oremail云效劳中心的补丁治理�？？？？�，，，，，凭证补丁编号下载并凭证操作指引举行手动更新。。。。
暂时修补计划如下：
1、在不影响正常使用的情形下，，，，，通过安排VPN效劳限制对Coremail效劳器的公网会见；；；
2、在Web效劳器（nginx/apache）上限制外网对 /apiws 路径的会见。。。。

建议使用Coremail产品构建邮件效劳的信息系统运营者，，，，，连忙自检，，，，，发明保存误差实时修复。。。。

参考链接

https://mp.weixin.qq.com/s/cU4wSGQ_dNSoOk0VjEJffA

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

Coremail效劳未授权会见和效劳接口参数注入误差清静通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线