Coremail服务未授权访问和服务接口参数注入漏洞安全通告

发布时间 2019-06-19

漏洞编号和级别


CVE编号:暂无,危险级别:高危,CVSS分值:官方未评定


影响版本


受影响的版本

适用于Coremail XT 3.0.4至 XT 5.0.8A版本。


漏洞概述


Coremail邮件系统是论客科技(广州)有限企业(以下简称论客企业)自主研发的大型企业邮件系统,Coremail不但为网易(126、163、yeah)、移动,联通等知名运营商提供电子邮件整体技术解决方案及企业邮局运营服务,还为石油、钢铁、电力、政府、金融、教育、尖端制造企业等用户提供邮件系统App和反垃圾服务。


Coremail邮件系统存在服务未授权访问漏洞(CNVD-C-2019-78549)和服务接口参数注入漏洞(CNVD-C-2019-78550)。Coremail邮件系统apiws模块上的部分WebService服务存在访问策略缺陷和某API服务参数存在注入缺陷,使得攻击者综合利用上述漏洞,在未授权的情况下远程访问Coremail部分服务接口,通过参数构造注入进行文件操作。


漏洞验证


暂无POC/EXP。


修复建议


目前,论客企业已发布补丁进行修复:


1、针对Coremail XT3/CM5版本,补丁编号为CMXT3-2019-0001,程序版本号XT3.0.8 dev build 20190610(cb3344cf);
2、针对Coremail XT5,补丁编号为CMXT5-2019-0001,程序版本号XT5.0.9a build 20190604(696d1518)。
如已安装的程序包的版本号日期早于20190604,建议用户及时更新补丁:用户可以在Coremail云服务中心的补丁管理模块,根据补丁编号下载并按照操作指引进行手动更新。
临时修补方案如下:
1、在不影响正常使用的情况下,通过部署VPN服务限制对Coremail服务器的公网访问;
2、在Web服务器(nginx/apache)上限制外网对 /apiws 路径的访问。

建议使用Coremail产品构建邮件服务的信息系统运营者,马上自检,发现存在漏洞及时修复。


参考链接


 https://mp.weixin.qq.com/s/cU4wSGQ_dNSoOk0VjEJffA