供应链高危漏洞披露 | Winmail邮件系统曝出存储型XSS漏洞
2024-3-8 11:31:10 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

01 漏洞概况

Winmail 是一款功能丰富的邮件服务器软件,支持 Windows 和 Linux 平台,可适配国产化信创平台,具备SMTP、POP3、IMAP、Webmail、邮件归档、Web管理、邮件网关、防毒杀毒、短信提醒、网络硬盘等功能。

2023年10月,悬镜供应链安全情报中心在Winmail邮件系统中发现一个高危安全漏洞。恶意攻击者可利用该漏洞实现未授权窃取受害者邮箱所有邮件,甚至篡改邮箱账户密码接管邮箱权限。

悬镜供应链安全情报中心在第一时间向国家信息安全漏洞库CNNVD通告该漏洞细节,也得到Winmail厂商积极确认及修复,近期Winmail已正式发布产品补丁修复该安全漏洞。

经分析研判,该漏洞成因是Winmail邮件系统未对邮件内容进行严格安全过滤,导致攻击者可在邮件内容中嵌入恶意代码。攻击者可在未授权的情况下,向受害者邮箱发送嵌入漏洞利用代码的恶意邮件,受害者只要浏览该恶意邮件,即可触发漏洞并执行利用代码。

02 漏洞影响范围

产品名称

Winmail邮件系统

受影响版本

Winmail v7.1 for Windows及以下版本

Winmail Pro v5.1 for Linux及以下版本

影响范围

万级

有无修复补丁

Winmail邮件系统在国内公网资产量约1w+,覆盖众多关基行业客户(机关事业单位、税务、电力、电信、物流、医疗、证券、电视媒体、进出口等)。

03 漏洞复现

远程加载执行任意JS

窃取受害者邮箱邮件

04 修复方案

官方修复方案

官方已发布漏洞补丁:

https://www.winmail.cn/download_old.php

临时缓解措施

用户使用Winmail邮件系统时,不要随意浏览未知来源的邮件。

悬镜产品侧支持情况

悬镜安全全线产品已支持该漏洞的检测,详情请联系技术支持团队。

05 时间线

2023-10-16

悬镜供应链安全情报中心捕获Winmail邮件系统高危安全漏洞。

2023-10-19

悬镜供应链安全情报中心向CNNVD报送该漏洞。

2023-12-24

CNNVD确认该漏洞,漏洞编号为CNNVD-2023-16889206 。

2024-02-05

Winmail厂商积极确认并修复该漏洞。

2024-03-04

悬镜供应链安全情报中心披露漏洞。

悬镜供应链安全情报中心是国内首个数字供应链安全情报研究中心,依托悬镜安全团队强大的供应链SBOM管理与监测能力和AI安全大数据云端分析能力,对全球数字供应链安全漏洞、投毒事件、组件风险等进行实时动态监测与溯源分析,为用户智能精准预警“与我有关”的数字供应链安全情报。

推荐阅读

关于“悬镜安全”

悬镜安全,起源于北京大学网络安全技术研究团队”XMIRROR”,创始人子芽。作为数字供应链安全开拓者和DevSecOps敏捷安全领导者,始终专注于以“代码疫苗”技术为内核,凭借原创专利级”全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报服务”的第三代DevSecOps数字供应链安全管理体系,创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。


文章来源: https://mp.weixin.qq.com/s?__biz=MzA3NzE2ODk1Mg==&mid=2647790063&idx=1&sn=88adf918d77088701cbec8db9a4bb464&chksm=877099b8b00710ae86d32831d057d79b2f4342018a46f89eba8c978f4d1db00a8b383314f711&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh