供应链高危漏洞披露 | Winmail邮件系统曝出存储型XSS漏洞

admin 2024年3月9日17:04:44评论7 views字数 1106阅读3分41秒阅读模式

供应链高危漏洞披露 | Winmail邮件系统曝出存储型XSS漏洞

01 漏洞概况

Winmail 是一款功能丰富的邮件服务器软件,支持 Windows 和 Linux 平台,可适配国产化信创平台,具备SMTP、POP3、IMAP、Webmail、邮件归档、Web管理、邮件网关、防毒杀毒、短信提醒、网络硬盘等功能。

2023年10月,悬镜供应链安全情报中心在Winmail邮件系统中发现一个高危安全漏洞。恶意攻击者可利用该漏洞实现未授权窃取受害者邮箱所有邮件,甚至篡改邮箱账户密码接管邮箱权限。

悬镜供应链安全情报中心在第一时间向国家信息安全漏洞库CNNVD通告该漏洞细节,也得到Winmail厂商积极确认及修复,近期Winmail已正式发布产品补丁修复该安全漏洞。

经分析研判,该漏洞成因是Winmail邮件系统未对邮件内容进行严格安全过滤,导致攻击者可在邮件内容中嵌入恶意代码。攻击者可在未授权的情况下,向受害者邮箱发送嵌入漏洞利用代码的恶意邮件,受害者只要浏览该恶意邮件,即可触发漏洞并执行利用代码。

02 漏洞影响范围

产品名称

Winmail邮件系统

受影响版本

Winmail v7.1 for Windows及以下版本

Winmail Pro v5.1 for Linux及以下版本

影响范围

万级

有无修复补丁

Winmail邮件系统在国内公网资产量约1w+,覆盖众多关基行业客户(机关事业单位、税务、电力、电信、物流、医疗、证券、电视媒体、进出口等)。

03 漏洞复现

供应链高危漏洞披露 | Winmail邮件系统曝出存储型XSS漏洞

远程加载执行任意JS

供应链高危漏洞披露 | Winmail邮件系统曝出存储型XSS漏洞

窃取受害者邮箱邮件

04 修复方案

官方修复方案

官方已发布漏洞补丁:

https://www.winmail.cn/download_old.php

临时缓解措施

用户使用Winmail邮件系统时,不要随意浏览未知来源的邮件。

悬镜产品侧支持情况

悬镜安全全线产品已支持该漏洞的检测,详情请联系技术支持团队。

05 时间线

2023-10-16

悬镜供应链安全情报中心捕获Winmail邮件系统高危安全漏洞。

2023-10-19

悬镜供应链安全情报中心向CNNVD报送该漏洞。

2023-12-24

CNNVD确认该漏洞,漏洞编号为CNNVD-2023-16889206 。

2024-02-05

Winmail厂商积极确认并修复该漏洞。

2024-03-04

悬镜供应链安全情报中心披露漏洞。

悬镜供应链安全情报中心是国内首个数字供应链安全情报研究中心,依托悬镜安全团队强大的供应链SBOM管理与监测能力和AI安全大数据云端分析能力,对全球数字供应链安全漏洞、投毒事件、组件风险等进行实时动态监测与溯源分析,为用户智能精准预警“与我有关”的数字供应链安全情报。

原文始发于微信公众号(悬镜安全):供应链高危漏洞披露 | Winmail邮件系统曝出存储型XSS漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月9日17:04:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   供应链高危漏洞披露 | Winmail邮件系统曝出存储型XSS漏洞https://cn-sec.com/archives/2558903.html

发表评论

匿名网友 填写信息