coremail漏洞_Coremail多个安全漏洞预警

最新推荐文章于 2024-09-20 20:52:42 发布
最新推荐文章于 2024-09-20 20:52:42 发布
阅读量4.1k 收藏
点赞数
文章标签: coremail漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30880565/article/details/113451500
版权
Coremail在2019年6月发布安全公告,披露了3个高危漏洞,涉及apiws、mailsms和wmsvr模块,可能导致信息泄露、越界访问等风险。攻击者可能通过Web服务端口获取敏感信息。官方提供了安全更新补丁,建议用户尽快更新或暂停Web服务,并监控相关请求。
摘要由CSDN通过智能技术生成

1.   安全公告

2019年6月14,Coremail发布了3个高危漏洞的安全公告,补丁编号:CMXT5-2019-0001,涉及模块apiws,补丁修复IP限制不合理和存在路径遍历的漏洞;补丁编号:CMXT5-2019-0002,涉及模块mailsms,补丁修复信息泄露的漏洞;补丁编号:CMXT5-2019-0003,涉及模块wmsvr,补丁修复信息泄露的漏洞、反射型XSS、路径遍历、越界访问、设备验证算法缺陷等漏洞;相关信息链接:

http://www.coremail.cn/About/news_x/article_id/32641.htm

根据公告,该漏洞存在于Coremail的Web服务端口,攻击者可以通过访问apiws、mailsms、wmsvr接口和模块获取邮件服务配置信息(如:数据库连接账号密码),通过泄露的信息,从而进一步进行越权访问。

2.   影响版本

Coremail信息泄露漏洞,越界访问等漏洞,主要影响Coremail的Web服务

最低0.47元/天 解锁文章
卖扣杨
关注
Coremail邮件系统 2.11.3
10-04
Coremail闪电邮客户端作为该系统的组成部分,允许用户方便地管理多个邮箱账号,无论是基于POP3还是IMAP协议的邮箱,都可以轻松接入。POP3协议主要用于下载服务器上的邮件到本地进行查看,而IMAP协议则允许用户在...
Coremail 远程命令执行漏洞
Jdjdjjdjdjdje的博客
08-22 3810
OSCS 是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。在 Coremail XT5/XT6 版本中,邮件处理功能存在溢出风险,攻击者构造恶意邮件,向任意邮箱地址发送该恶意邮件,当服务器处理邮件时,会触发漏洞,造成任意命令执行等危害。官方公告认为该漏洞不能稳定复现,在实际场景中难以利用,危害有限。
mail敏感配置信息泄露
梦里明明有六趣,觉后空空无大千
07-28 2262
生活是美好的,生命在其间又是如此短促。既然活着,就应该好好地活。应该更珍惜自己生命的每个时刻,精神上的消沉无异于自杀。像往日一样正常的投入生活吧,即便是痛苦,也应该被看做是人的正常情感,甚至它是组成我们幸福生活的一个不可缺欠的部分。
Coremail-0day敏感文件泄露漏洞批量检测脚本:保护您的邮件系统安全
最新发布
gitblog_06558的博客
09-20 1004
Coremail-0day敏感文件泄露漏洞批量检测脚本:保护您的邮件系统安全 Coremail-0day敏感文件泄露漏洞送附批量检测脚本 项目地址: https://gitcode.com/Resource-Bundle-Col...
Coremail-0day敏感文件泄露漏洞送附批量检测脚本
热门推荐
god_Zeo的安全博客
06-17 1万+
漏洞介绍 Coremail邮件系统是业内唯一一款商用的超大规模运营级邮件系统,开始研发于1999年 [1] ,其前身为中国第一套中文电子邮件系统163\126,目前在中国的客户包括网易系列邮箱、中国移动手机邮箱(139)等国内领先的邮箱服务运营商,以及宝钢、首钢、南方电网、农业银行、交通银行、华润、神华、华能等世界500强中国企业,截止2019年,Coremail邮件系统产品在国内已拥有10亿终...
无胁科技-TVD每日漏洞情报-2022-7-27
wuthreat无胁科技的博客
07-28 870
参考链接https//tvd.wuthreat.com/#/listDetail?参考链接https//tvd.wuthreat.com/#/listDetail?参考链接https//tvd.wuthreat.com/#/listDetail?参考链接https//tvd.wuthreat.com/#/listDetail?参考链接https//tvd.wuthreat.com/#/listDetail?漏洞编号CVE-2022-34966。漏洞编号CVE-2022-34907。...
Coremail邮件系统存在配置信息泄露漏洞(CNVD-2019-16798)
墨痕诉清风的博客
11-09 7865
目前,论客公司已发布补丁进行修复,针对Coremail XT5和Coremail XT3/CM5版本,补丁编号为CMXT5-2019-0002,程序版本1.1.0-alphabuild20190524(3813d273)。综合CNVD技术支撑单位报送、白帽子报送、CNVD秘书处主动探测的结果显示,我国境内共有1484台服务器受此漏洞影响,影响比例约为4.0%。邮件系统的mailsms模块的参数大小写敏感存在缺陷,使得攻击者利用该漏洞,在未授权的情况下,通过远程访问URL地址获知。...
Coremail-PC(4.0.0.862)_20200507.exe
12-06
Coremail-PC
Coremail-Plugin(4.2.4.15).zip
07-10
Coremail官网已无法下载本插件,产品诞生于1999年,经过十多年发展,如今从亿万级别的运营系统,到几万人的大型企业,都有了Coremail的客户。截止2010年,Coremail邮件系统产品在国内已拥有超过3亿终端用户,是目前...
CoreMail监管账号配置.docx
12-01
配置coremail监管账号,用于做邮件的归档审计检查用。
Coremail企业管理使用手册
10-24
这份手册涵盖了管理员的角色、管理内容、管理界面以及系统管理等多个方面,确保企业能够有效地管理和配置邮件系统。 1. **前言** 这部分可能介绍了Coremail XT V2.0的基本特性和更新内容,阐述了手册的目的,即...
Coremail邮件系统配置文件泄露漏洞
weixin_30682415的博客
06-16 2872
Coremail论客邮件系统开始研发于1999年,是中国第一套中文邮件系统,目前在中国大陆地区拥有超过10亿终端用户,是网易、中华网等运营商至今一直使用的邮件系统,也是政府、事业单位、科教、企业等机构广泛使用的邮件系统。 2019年6月,网上流传出Coremail论客邮件系统配置文件泄露的漏洞,该漏洞无需认证即可获取邮件系统的配置文件内容。 Coremail官网发布的漏洞公告:《关于Corem...
探索CoreMailUploadRce:一款强大的邮件上传漏洞利用工具
gitblog_00064的博客
03-30 578
探索CoreMailUploadRce:一款强大的邮件上传漏洞利用工具 去发现同类优质开源项目:https://gitcode.com/ 项目简介 CoreMailUploadRce 是一个开源项目,由开发者Jimoyong开发并维护。它主要是一款针对Coremail邮件系统上传功能的漏洞利用工具。通过此工具,安全研究人员和渗透测试员能够模拟攻击场景,以检测并防范潜在的安全风险。 技术分析 Cor...
Coremail接口存配置读取漏洞POC
Sylon的博客
06-14 1万+
Coremail产品诞生于1999年,经过二十多年发展,如今从亿万级别的运营系统,到几万人的大型企业,都有了Coremail的客户。 截止2019年,Coremail邮件系统产品在国内已拥有10亿终端用户,是目前国内拥有邮箱使用用户最多的邮件系统。Coremail今天不但为网易(126、163、yeah)、移动,联通等知名运营商提供电子邮件整体技术解决方案及企业邮局运营服务,还为石油、钢铁、...
Coremail-0day敏感文件泄露漏洞批量检测脚本
gitblog_06541的博客
09-20 395
Coremail-0day敏感文件泄露漏洞批量检测脚本 Coremail-0day敏感文件泄露漏洞送附批量检测脚本 项目地址: https://gitcode.com/Resource-Bundle-Collection/56e...
2023HW漏洞POC/EXP、情报汇总知识库(0820更新)
lurenjia404的博客
08-21 1908
分析结论:木马下载器HW总结模板一2023年,与往年的护网“划水”的角色不同 ,领导鼓励(命令)我今年要扛起写护网总结报告的大旗。作为一线“工具人”,写总结材料真的很头疼,相信很多人和我都有同感。于是在护网开始就开始着手准备总结材料,做到未雨绸缪,尤其是4月护网结束后,下面还有省级、市级护网,以及7月的建党100周年的安保,估计每次都将会少不了总结报告。特从网上搜集了总结模板,分享给大家。由于每家企业防护手段不一、组织架构不一,并且以下案例未必真实,所以完全照抄的可能性不大,所以仅供参考~~~
推荐开源项目:KnockMail - 邮箱漏洞检测利器
gitblog_00068的博客
06-07 570
推荐开源项目:KnockMail - 邮箱漏洞检测利器 项目地址:https://gitcode.com/gh_mirrors/kn/KnockMail 1、项目介绍 KnockMail 是一个由 Alisson Moretto(GitHub 用户名 4w4k3)编写的开源工具,旨在帮助安全研究人员和白帽黑客进行电子邮件服务器的漏洞扫描和安全性评估。通过自动探测,KnockMail 可以发现那些...
1.漏洞的危害
my的博客
10-22 157
危害:不需要密码登录。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值