信息安全

信息安全 首页 > 信息安全 > 信息安全 > 正文

【华中科技大学 - 漏洞预警】关于 Coremail 邮箱系统存在多个漏洞

发布时间:2018-07-30 浏览次数:

近日,互联网上公开了广东盈世计算机科技有限公司的Coremail邮件系统存在多个软件漏洞,其中包含反射型跨站脚本、业务逻辑设计漏洞等,攻击者可利用漏洞获取网站敏感信息,跨业务逻辑进行操作。

漏洞概述

Coremail是电子邮件系统,目前拥有大量用户,且产品应用于多个领域。目前Coremail邮件系统产品在国内已拥有超过3亿终端用户,是目前国内拥有邮箱使用用户最多的邮件系统。

Coremail系统漏洞安全风险情况,主要涉及登陆信息未安全传输风险、邮件表单项XSS跨站脚本风险、cookies欺骗安全风险。根据国家互联网应急中心评定,其中两个风险认定为软件漏洞,分别为:Coremail表单项img标签跨站脚本漏洞(CNVD-2013-08027,评级:中危),Coremail邮件系统服务器端存在身份验证漏洞(CNVD-2016-10575,评级:中危)。综合利用两个中危漏洞,攻击者有可能获得其他同域邮件用户的登陆权限。

漏洞危害

攻击者可利用漏洞获取网站敏感信息,跨业务逻辑进行操作。

受影响范围

Coremail邮件系统

修复建议

1、厂商尚未提供漏洞修复方案,请关注厂商主页更新:http://www.coremail.cn/

2、从厂商公布渠道得知,“盈世公司通过已有售后渠道主动向涉及党政机关和重要行业单位的相关用户通报漏洞风险并协助完成漏洞修复工作”,若贵单位有使用Coremail邮件系统,可联系盈世公司售后渠道进行安全处置。

版权所有:华中科技大学网络与计算中心

地址:湖北省武汉市洪山区珞喻路1037号 邮编:430074 电话:027-87543141 传真:027-87543741