coremail漏洞_Coremail多个安全漏洞预警

最新推荐文章于 2024-03-30 09:37:22 发布
最新推荐文章于 2024-03-30 09:37:22 发布
阅读量3.9k 收藏
点赞数
文章标签: coremail漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30880565/article/details/113451500
版权
1.安全公告2019年6月14,Coremail发布了3个高危漏洞的安全公告,补丁编号:CMXT5-2019-0001,涉及模块apiws,补丁修复IP限制不合理和存在路径遍历的漏洞;补丁编号:CMXT5-2019-0002,涉及模块mailsms,补丁修复信息泄露的漏洞;补丁编号:CMXT5-2019-0003,涉及模块wmsvr,补丁修复信息泄露的漏洞、反射型XSS、路径遍历、...
摘要由CSDN通过智能技术生成

1.   安全公告

2019年6月14,Coremail发布了3个高危漏洞的安全公告,补丁编号:CMXT5-2019-0001,涉及模块apiws,补丁修复IP限制不合理和存在路径遍历的漏洞;补丁编号:CMXT5-2019-0002,涉及模块mailsms,补丁修复信息泄露的漏洞;补丁编号:CMXT5-2019-0003,涉及模块wmsvr,补丁修复信息泄露的漏洞、反射型XSS、路径遍历、越界访问、设备验证算法缺陷等漏洞;相关信息链接:

http://www.coremail.cn/About/news_x/article_id/32641.htm

根据公告,该漏洞存在于Coremail的Web服务端口,攻击者可以通过访问apiws、mailsms、wmsvr接口和模块获取邮件服务配置信息(如:数据库连接账号密码),通过泄露的信息,从而进一步进行越权访问。

2.   影响版本

Coremail信息泄露漏洞,越界访问等漏洞,主要影响Coremail的Web服务

最低0.47元/天 解锁文章
卖扣杨
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Coremail邮件系统存在配置信息泄露漏洞(CNVD-2019-16798)
墨痕诉清风的博客
11-09 7644
目前,论客公司已发布补丁进行修复,针对Coremail XT5和Coremail XT3/CM5版本,补丁编号为CMXT5-2019-0002,程序版本1.1.0-alphabuild20190524(3813d273)。综合CNVD技术支撑单位报送、白帽子报送、CNVD秘书处主动探测的结果显示,我国境内共有1484台服务器受此漏洞影响,影响比例约为4.0%。邮件系统的mailsms模块的参数大小写敏感存在缺陷,使得攻击者利用该漏洞,在未授权的情况下,通过远程访问URL地址获知。...
Coremail邮件系统 2.11.3
10-04
Coremail闪电邮客户端作为该系统的组成部分,允许用户方便地管理多个邮箱账号,无论是基于POP3还是IMAP协议的邮箱,都可以轻松接入。POP3协议主要用于下载服务器上的邮件到本地进行查看,而IMAP协议则允许用户在...
Coremail接口存配置读取漏洞POC
Sylon的博客
06-14 1万+
Coremail产品诞生于1999年,经过二十多年发展,如今从亿万级别的运营系统,到几万人的大型企业,都有了Coremail的客户。 截止2019年,Coremail邮件系统产品在国内已拥有10亿终端用户,是目前国内拥有邮箱使用用户最多的邮件系统。Coremail今天不但为网易(126、163、yeah)、移动,联通等知名运营商提供电子邮件整体技术解决方案及企业邮局运营服务,还为石油、钢铁、...
Coremail 远程命令执行漏洞
Jdjdjjdjdjdje的博客
08-22 2777
OSCS 是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。在 Coremail XT5/XT6 版本中,邮件处理功能存在溢出风险,攻击者构造恶意邮件,向任意邮箱地址发送该恶意邮件,当服务器处理邮件时,会触发漏洞,造成任意命令执行等危害。官方公告认为该漏洞不能稳定复现,在实际场景中难以利用,危害有限。
mail敏感配置信息泄露
自强不息
07-28 1677
生活是美好的,生命在其间又是如此短促。既然活着,就应该好好地活。应该更珍惜自己生命的每个时刻,精神上的消沉无异于自杀。像往日一样正常的投入生活吧,即便是痛苦,也应该被看做是人的正常情感,甚至它是组成我们幸福生活的一个不可缺欠的部分。
无胁科技-TVD每日漏洞情报-2022-7-27
wuthreat无胁科技的博客
07-28 818
参考链接https//tvd.wuthreat.com/#/listDetail?参考链接https//tvd.wuthreat.com/#/listDetail?参考链接https//tvd.wuthreat.com/#/listDetail?参考链接https//tvd.wuthreat.com/#/listDetail?参考链接https//tvd.wuthreat.com/#/listDetail?漏洞编号CVE-2022-34966。漏洞编号CVE-2022-34907。...
Coremail-0day敏感文件泄露漏洞送附批量检测脚本
热门推荐
god_Zeo的安全博客
06-17 1万+
漏洞介绍 Coremail邮件系统是业内唯一一款商用的超大规模运营级邮件系统,开始研发于1999年 [1] ,其前身为中国第一套中文电子邮件系统163\126,目前在中国的客户包括网易系列邮箱、中国移动手机邮箱(139)等国内领先的邮箱服务运营商,以及宝钢、首钢、南方电网、农业银行、交通银行、华润、神华、华能等世界500强中国企业,截止2019年,Coremail邮件系统产品在国内已拥有10亿终...
Coremail邮件系统配置文件泄露漏洞
weixin_30682415的博客
06-16 2781
Coremail论客邮件系统开始研发于1999年,是中国第一套中文邮件系统,目前在中国大陆地区拥有超过10亿终端用户,是网易、中华网等运营商至今一直使用的邮件系统,也是政府、事业单位、科教、企业等机构广泛使用的邮件系统。 2019年6月,网上流传出Coremail论客邮件系统配置文件泄露的漏洞,该漏洞无需认证即可获取邮件系统的配置文件内容。 Coremail官网发布的漏洞公告:《关于Corem...
Coremail-PC(4.0.0.862)_20200507.exe
12-06
Coremail-PC
Coremail-Plugin(4.2.4.15).zip
07-10
Coremail官网已无法下载本插件,产品诞生于1999年,经过十多年发展,如今从亿万级别的运营系统,到几万人的大型企业,都有了Coremail的客户。截止2010年,Coremail邮件系统产品在国内已拥有超过3亿终端用户,是目前...
CoreMail监管账号配置.docx
12-01
配置coremail监管账号,用于做邮件的归档审计检查用。
Coremail企业管理使用手册
10-24
这份手册涵盖了管理员的角色、管理内容、管理界面以及系统管理等多个方面,确保企业能够有效地管理和配置邮件系统。 1. **前言** 这部分可能介绍了Coremail XT V2.0的基本特性和更新内容,阐述了手册的目的,即...
探索CoreMailUploadRce:一款强大的邮件上传漏洞利用工具
gitblog_00064的博客
03-30 401
探索CoreMailUploadRce:一款强大的邮件上传漏洞利用工具 项目地址:https://gitcode.com/jimoyong/CoreMailUploadRce 项目简介 CoreMailUploadRce 是一个开源项目,由开发者Jimoyong开发并维护。它主要是一款针对Coremail邮件系统上传功能的漏洞利用工具。通过此工具,安全研究人员和渗透测试员能够模拟攻击场景,以检测...
Coremail远程代码执行
xxx9686的博客
09-18 749
Coremail的nginx配置文件中针对/lunkr/cache路径做upstream的时候未做X-Forwarded-For字段的设置,从而可以利用该接口实现配合利用nginx不解析;但是tomcat解析;的差异特性实现绕过tomcat的manager应用127.0.0.1本地ip限制。并且coremail默认的tomcat-user为coremail,coremail。访问过去会直接跳转到tomcat控制台,这里你就可以采用coremail/coremail弱口令尝试登陆,或者暴力破解。
[HW必备]|蓝队防守必须排查的57个安全漏洞与解决方案
03-18 5169
一、OA系统 二、E-mail 三、Web中间件 四、源代码管理 五、项目管理系统 六、开源运维监控 七、堡垒机
漏洞预警合集-蓝军不得不知晓8大漏洞-转
安全解决方案
07-30 1418
HW行动愈演愈烈,已经进化到了各支队伍军备的竞争,伴随这竞争的不断继续,一个个漏洞浮出水平。 下面就由小编来对近期的漏洞预警做一个合集,素材同样全部来自互联网,仅供各位蓝军参考。 目录 Windows RDP 远程桌面漏洞(CVE-2019-0708、CNVD-2019-14264) Windows NTLM认证漏洞安全预警(CVE-2019-1040) Coremail邮件...
被攻击的一些重点系统漏洞整理
鱼的博客
08-18 1295
一、OA系统 泛微(Weaver-Ecology-OA) ???? 泛微OA E-cology RCE(CNVD-2019-32204) - 影响版本7.0/8.0/8.1/9.0 https://xz.aliyun.com/t/6560 ???? 泛微OA WorkflowCenterTreeData接口注入(限oracle数据库) https://zhuanlan.zhihu.com/p/86082614 ???? 泛微ecology OA数据库配置信息泄露 https://www.cnblogs.co
关于coremail的0day
谁的博客
06-14 3507
#-- Coding: utf-8 -- #Author: Vulkey_Chen #Email: gh0stkey@hi-ourlife.com #Website: www.hi-ourlife.com #About: mailsms config dump PoC import requests,sys def mailsmsPoC(url): url = url + “/mailsms/s?...
程序员合同范本
最新发布
07-18
【作品名称】:程序员合同范本 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
Coremail 单点登录
04-04
1. 基于Cookie的SSO:用户在登录Coremail系统后,Coremail会生成一个包含用户身份信息的Cookie,并将其存储在用户的浏览器中。当用户访问其他相关系统时,这些系统会检查浏览器中的Cookie,从而实现自动登录。 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值