2019年6月(yuè)(yuè)15日，國家信息安全漏洞共享平台（CNVD）收錄了(le)由論客科技（廣州）有限公司報送的Coremail郵件系統服務未授權訪問漏洞（CNVD-C-2019-78549）和服務接口參數注入漏洞（CNVD-C-2019-78550）。攻擊者利用該漏洞，可在未授權的情況下(xià)訪問部分(fēn)服務接口和進行接口參數注入操作(zuò)。目前，漏洞相關細節和驗證代碼已開始小範圍傳播，廠商(shāng)已發布補丁進行修複，建議用戶立即更新(xīn)或采取臨時修補方案進行防護。

一(yī)、漏洞情況分(fēn)析

Coremail郵件系統是論客科技（廣州）有限公司（以下(xià)簡稱論客公司）自主研發的大型企業郵件系統，爲客戶提供電子(zǐ)郵件整體技術解決方案及企業郵局運營服務。Coremail郵件系統作(zuò)爲我國第一(yī)套中文郵件系統，客戶範圍涵蓋黨政機關、高校(xiào)、知名企業以及能(néng)源、電力、金(jīn)融等重要行業單位，在我國境内應用較爲廣泛。

2019年6月(yuè)(yuè)15日，國家信息安全漏洞共享平台（CNVD）收錄了(le)由論客科技（廣州）有限公司報送的Coremail郵件系統服務未授權訪問漏洞和服務接口（API）參數注入漏洞。Coremail郵件系統apiws模塊上(shàng)的部分(fēn)WebService服務存在訪問策略缺陷和某API服務參數存在注入缺陷，使得攻擊者綜合利用上(shàng)述漏洞，在未授權的情況下(xià)遠程訪問Coremail部分(fēn)服務接口，通過參數構造注入進行文件操作(zuò)。

CNVD對上(shàng)述漏洞的綜合評級均爲“高危”。

二、漏洞影響範圍

該漏洞影響的Coremail郵件系統版本如(rú)下(xià)：

1、Coremail XT 3.0.4至 XT5.0.8A版本受上(shàng)述兩個漏洞影響；

2、XT 5.0.9及以上(shàng)版本已修複上(shàng)述兩個漏洞。

CNVD秘書處對Coremail服務在我國境内的分(fēn)布情況進行統計，結果顯示我國境内的Coremail服務器(qì)數量約爲4.0萬（根據IP端口統計）。

綜合CNVD技術支撐單位報送、CNVD秘書處主動探測的結果顯示，我國境内共有1776台和454台服務器(qì)分(fēn)别受上(shàng)述漏洞影響，影響比例約爲4.8%和1.2%。我平台已将探測結果與論客公司共享，協助其開展用戶側修複相關工作(zuò)。

三、漏洞處置建議

目前，論客公司已發布補丁進行修複：

1、針對CoremailXT3/CM5版本，補丁編号爲CMXT3-2019-0001，程序版本号XT3.0.8 dev build 20190610(cb3344cf)；

2、針對CoremailXT5，補丁編号爲CMXT5-2019-0001，程序版本号XT5.0.9abuild 20190604(696d1518)。

如(rú)已安裝的程序包的版本号日期早于20190604，建議用戶及時更新(xīn)補丁：用戶可以在Coremail雲服務中心的補丁管理(lǐ)模塊，根據補丁編号下(xià)載并按照操作(zuò)指引進行手動更新(xīn)。如(rú)有疑問，可通過400-888-2488 或support@coremail.cn聯系廠商(shāng)售後人(rén)員提供協助。

臨時修補方案如(rú)下(xià)：

1、在不影響正常使用的情況下(xià)，通過部署VPN服務限制對Coremail服務器(qì)的公網訪問；

2、在Web服務器(qì)（nginx/apache）上(shàng)限制外網對 /apiws 路(lù)徑的訪問。

建議使用Coremail産品構建郵件服務的信息系統運營者，立即自檢，發現存在漏洞及時修複。