Coremail邮件系统配置文件信息泄露漏洞

北京时间2019年6月14日。网络流传Coremail的配置信息泄露的poc，经过白帽汇安全研究院确认漏洞信息真实，影响部分版本。该漏洞可造成coremail的配置文件信息泄露，其中包括数据库连接的用户名密码等敏感信息。

Coremail产品诞生于1999年，经过二十多年发展，Coremail的客户众多。是目前国内拥有邮箱使用用户最多的邮件系统。Coremail今天不但为网易（126、163、yeah）、移动，联通等知名运营商提供电子邮件整体技术解决方案及企业邮局运营服务，还为石油、钢铁、电力、政府、金融、教育、尖端制造企业等用户提供邮件系统软件和反垃圾服务。

根据FOFA系统近一年统计显示，目前全球共有18511个Coremail系统对外开放（非漏洞情况）。该系统用户主要以国内为主。

漏洞

/mailsms/s?func=ADMIN:appState&dumpConfig=/

影响版本:

Coremail部分版本

漏洞等级:

高危

漏洞危害:

该漏洞可造成Coremail的配置文件信息泄露，包括数据库连接的用户名、密码等敏感信息。攻击者可能会通过这些敏感信息的收集，从而进一步尝试获取权限和数据的攻击。

修复建意：

1.及时升级Coremail至最新版本，打补丁。

作者：IT同路人 （文章转载请注明来自：IT同路人论坛）