01 漏洞概况
Winmail 是一款功能丰富的邮件服务器软件,支持 Windows 和 Linux 平台,可适配国产化信创平台,具备SMTP、POP3、IMAP、Webmail、邮件归档、Web管理、邮件网关、防毒杀毒、短信提醒、网络硬盘等功能。
2023年10月,悬镜供应链安全情报中心在Winmail邮件系统中发现一个高危安全漏洞。恶意攻击者可利用该漏洞实现未授权窃取受害者邮箱所有邮件,甚至篡改邮箱账户密码接管邮箱权限。
悬镜供应链安全情报中心在第一时间向国家信息安全漏洞库CNNVD通告该漏洞细节,也得到Winmail厂商积极确认及修复,近期Winmail已正式发布产品补丁修复该安全漏洞。
经分析研判,该漏洞成因是Winmail邮件系统未对邮件内容进行严格安全过滤,导致攻击者可在邮件内容中嵌入恶意代码。攻击者可在未授权的情况下,向受害者邮箱发送嵌入漏洞利用代码的恶意邮件,受害者只要浏览该恶意邮件,即可触发漏洞并执行利用代码。
02 漏洞影响范围
|
产品名称 |
Winmail邮件系统 |
|
受影响版本 |
Winmail v7.1 for Windows及以下版本 Winmail Pro v5.1 for Linux及以下版本 |
|
影响范围 |
万级 |
|
有无修复补丁 |
有 |
Winmail邮件系统在国内公网资产量约1w+,覆盖众多关基行业客户(机关事业单位、税务、电力、电信、物流、医疗、证券、电视媒体、进出口等)。
03 漏洞复现
远程加载执行任意JS
窃取受害者邮箱邮件
04 修复方案
官方修复方案
官方已发布漏洞补丁:
https://www.winmail.cn/download_old.php
临时缓解措施
用户使用Winmail邮件系统时,不要随意浏览未知来源的邮件。
悬镜产品侧支持情况
悬镜安全全线产品已支持该漏洞的检测,详情请联系技术支持团队。
05 时间线
2023-10-16
悬镜供应链安全情报中心捕获Winmail邮件系统高危安全漏洞。
2023-10-19
悬镜供应链安全情报中心向CNNVD报送该漏洞。
2023-12-24
CNNVD确认该漏洞,漏洞编号为CNNVD-2023-16889206 。
2024-02-05
Winmail厂商积极确认并修复该漏洞。
2024-03-04
悬镜供应链安全情报中心披露漏洞。
悬镜供应链安全情报中心是国内首个数字供应链安全情报研究中心,依托悬镜安全团队强大的供应链SBOM管理与监测能力和AI安全大数据云端分析能力,对全球数字供应链安全漏洞、投毒事件、组件风险等进行实时动态监测与溯源分析,为用户智能精准预警“与我有关”的数字供应链安全情报。
+
原文始发于微信公众号(悬镜安全):供应链高危漏洞披露 | Winmail邮件系统曝出存储型XSS漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论