首页 > 清静研究 > 清静转达 > 清静通告

MailEnable多个误差清静通告

宣布时间 2019-07-11

误差编号和级别

CVE编号：CVE-2019-12924，危险级别：严重，CVSS分值：官方未评定
CVE编号：CVE-2019-12925，危险级别：高危，CVSS分值：官方未评定
CVE编号：CVE-2019-12927，危险级别：高危，CVSS分值：官方未评定
CVE编号：CVE-2019-12926，危险级别：中危，CVSS分值：官方未评定
CVE编号：CVE-2019-12923，危险级别：中危，CVSS分值：官方未评定

影响版本

受影响的版本

MailEnable 10.24之前版本

误差概述

MailEnable Enterprise Premium是澳大利亚MailEnable公司的一套POP3和SMTP邮件服务器。具有富厚的通俗和治理用户功效，由于其使用简朴且部分版本免费，用户众多。该应用程序主要使用.NET Framework举行开发。

阻止现在为止，在中国袒露的资产数目为15,039台�Ｋ剂康礁萌砑饕糜谀谕樾沃械挠始衿鳎磐姓媸当４娴淖氨甘拷杓萏宦兜氖怠�

海内方面，该应用程序主要漫衍在香港、台湾等地区，其次是河南省、广东省、浙江省，使用数目相对外洋较少。

MailEnable 10.24之前版本保存如下误差：

CVE-2019-12924

针对有误差的MailEnable版本，使用XML External Injection(XXE)攻击，未经身份验证的攻击者可以从服务器读取恣意文本文件。由于MailEnable的凭证存储在纯文本文件中而没有任何加密，因此可以窃取所有用户的凭证，包括最高特权用户（SYSADMIN帐户）。

CVE-2019-12925

路径穿越误差，经由身份验证的攻击者可以在目今IIS用户有权会见的恣意文件夹中添加，删除或可能读取文件。这可能导致不法读取其他用户凭证，包括SYSADMIN帐户，阅读其他用户的电子邮件，或将电子邮件或文件添加到其他用户的帐户。

CVE-2019-12927

存储型和反射型XSS误差，可能被未经身份验证的攻击者使用。一旦用户翻开恶意电子邮件，就会执行XSS有用负载。然后，可以通过向所有人发送更多电子邮件或使用谈天新闻中保存的另一个存储的XSS问题来将其用于定位应用程序的所有用户。若是恶意邮件在局域网内举行大规模撒播，整个邮件网络内的机械可能沦为攻击者控制的僵尸网络。

CVE-2019-12926

过失的会见控制，MailEnable解决计划在某些情形下使用适当的会见控制检查。因此，当以用户不应具有执行权限的用户身份登录时，可以举行越权操作操作，也可以会见应用程序中使用的帐户本应没有足够会见权限的区域。

CVE-2019-12923

Cross-Site Request Forgery(CSRF)误差，MailEnable的某些流程容易受到CSRF攻击，例如受害者可以代表攻击者发送电子邮件，或者可以为未经授权的用户分派完整的电子邮件会见权限。

误差验证

暂无POC/EXP。

修复建议

MailEnable官方已经宣布了最新的清静补丁10.25，强烈建议用户举行软件版本升级，下载地点为：http://www.mailenable.com/download.asp。

参考链接

https://www.nccgroup.trust/uk/our-research/technical-advisory-multiple-vulnerabilities-in-mailenable/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

MailEnable多个误差清静通告

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线