专栏首页it同路人Coremail邮件系统配置文件信息泄露漏洞

Coremail邮件系统配置文件信息泄露漏洞

摘要:

北京时间2019年6月14日。网络流传Coremail的配置信息泄露的poc,经过白帽汇安全研究院确认漏洞信息真实,影响部分版本。该漏洞可造成coremail的配置文件信息泄露,其中包括数据库连接的用户名密码等敏感信息。

Coremail产品诞生于1999年,经过二十多年发展,Coremail的客户众多。是目前国内拥有邮箱使用用户最多的邮件系统。Coremail今天不但为网易(126、163、yeah)、移动,联通等知名运营商提供电子邮件整体技术解决方案及企业邮局运营服务,还为石油、钢铁、电力、政府、金融、教育、尖端制造企业等用户提供邮件系统软件和反垃圾服务。

根据FOFA系统近一年统计显示,目前全球共有18511个Coremail系统对外开放(非漏洞情况)。该系统用户主要以国内为主。

漏洞

/mailsms/s?func=ADMIN:appState&dumpConfig=/

影响版本:

Coremail部分版本

漏洞等级:

高危

漏洞危害:

该漏洞可造成Coremail的配置文件信息泄露,包括数据库连接的用户名、密码等敏感信息。攻击者可能会通过这些敏感信息的收集,从而进一步尝试获取权限和数据的攻击。

修复建意:

1.及时升级Coremail至最新版本,打补丁。

作者:IT同路人 (文章转载请注明来自:IT同路人论坛)

本文分享自微信公众号 - it同路人(ittongluren)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-06-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 分库分表就能无限扩容吗,解释得太好了!

    像我这样的菜鸟,总会有各种疑问,刚开始是对 JDK API 的疑问,对 NIO 的疑问,对 JVM 的疑问,当工作几年后,对服务的可用性,可扩展性也有了新的疑问...

    zhisheng
  • 一手好 SQL 是如何炼成的?

    抛开数据量和并发数,谈性能都是耍流氓。MySQL没有限制单表最大记录数,它取决于操作系统对文件大小的限制。

    lyb-geek
  • mybatis多表查询

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    多凡
  • MySQL主从复制能完美解决数据库单点问题吗?

    2、从库的IO线程在指定位置读取主库binlog内容存储到本地的中继日志(Relay Log)中

    lyb-geek
  • 基于Spring的转账事务管理

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    多凡
  • SpringSecurity 一直登录失败加解决方案

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    多凡
  • mybatis框架一级和二级缓存

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    多凡
  • mybatis 延迟加载(懒加载)

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    多凡
  • Java网络与多线程系列之1:实现一个简单的对象池

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    eguid
  • 数据库设计之商品表分析1

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    多凡

扫码关注云+社区

领取腾讯云代金券