首页 > 清静研究 > 清静转达 > 清静通告

Coremail服务未授权会见和服务接口参数注入误差清静通告

宣布时间 2019-06-19

误差编号和级别

CVE编号：暂无，危险级别：高危，CVSS分值：官方未评定

影响版本

受影响的版本

适用于Coremail XT 3.0.4至 XT 5.0.8A版本。

误差概述

Coremail邮件系统是论客科技（广州）有限公司（以下简称论客公司）自主研发的大型企业邮件系统，Coremail不但为网易（126、163、yeah）、移动，联通等着名运营商提供电子邮件整体手艺解决计划及企业邮局运营服务，还为石油、钢铁、电力、政府、金融、教育、尖端制造企业等用户提供邮件系统软件和反垃圾服务。

Coremail邮件系统保存服务未授权会见误差（CNVD-C-2019-78549）和服务接口参数注入误差（CNVD-C-2019-78550）。Coremail邮件系统apiws�？樯系牟糠諻ebService服务保存会见战略缺陷和某API服务参数保存注入缺陷，使得攻击者综合使用上述误差，在未授权的情形下远程会见Coremail部分服务接口，通过参数结构注入举行文件操作。

误差验证

暂无POC/EXP。

修复建议

现在，论客公司已宣布补丁举行修复：

1、针对Coremail XT3/CM5版本，补丁编号为CMXT3-2019-0001，程序版本号XT3.0.8 dev build 20190610(cb3344cf)；
2、针对Coremail XT5，补丁编号为CMXT5-2019-0001，程序版本号XT5.0.9a build 20190604(696d1518)。
如已装置的程序包的版本号日期早于20190604，建议用户实时更新补�。河没Э梢栽贑oremail云服务中心的补丁管理�？椋局げ苟”嗪畔略夭⑵局げ僮髦敢傩惺侄�。
暂时修补计划如下：
1、在不影响正常使用的情形下，通过安排VPN服务限制对Coremail服务器的公网会见；
2、在Web服务器（nginx/apache）上限制外网对 /apiws 路径的会见。

建议使用Coremail产品构建邮件服务的信息系统运营者，连忙自检，发明保存误差实时修复。

参考链接

https://mp.weixin.qq.com/s/cU4wSGQ_dNSoOk0VjEJffA

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

耀世娱乐

网络清静防护

网络清静检测

应用清静

数据清静

清静管理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系耀世娱乐

清静研究

Coremail服务未授权会见和服务接口参数注入误差清静通告

关于耀世娱乐

解决计划

清静研究

联系耀世娱乐

7*24小时服务热线