当前位置:首页 > 信息安全 > 安全通告 > 详情
安全漏洞预警通告-MailEnable漏洞(CVE-2019-12923~CVE-2019-12927)预警
2019年07月10日   

1、 基本情况

  近日监测发现邮件服务器MailEnable存在一组漏洞,CVE编号:CVE-2019-12923~CVE-2019-12927。攻击者利用该组漏洞可以实现用户数据增删改查、文件读取以及部分越权操作。  

2、 漏洞描述

  MailEnable软件是一种流行的邮件服务器,具有丰富的普通和管理用户功能,由于其使用简单且部分版本免费,用户众多。该应用程序主要使用.NET Framework进行开发。 

  MailEnableWindows平台下非常受欢迎的Windows Mail Server平台。它提供了一种端到端的解决方案,用于提供安全的电子邮件和协作服务,受到众多托管公司和中小型企业的青睐。 

  CVE-2019-12923Cross-Site Request Forgery(CSRF)漏洞,MailEnable的某些流程容易受到CSRF攻击,例如受害者可以代表攻击者发送电子邮件,或者可以为未经授权的用户分配完整的电子邮件访问权限。该漏洞已在10.24版本中进行了修复。 

  CVE-2019-12924针对有漏洞的MailEnable版本,使用XML External Injection(XXE)攻击,未经身份验证的攻击者可以从服务器读取任意文本文件。由于MailEnable的凭据存储在纯文本文件中而没有任何加密,因此可以窃取所有用户的凭据,包括最高特权用户(SYSADMIN帐户)。该漏洞已在10.24版本中进行了修复。 

  CVE-2019-12925路径穿越漏洞,经过身份验证的攻击者可以在当前IIS用户有权访问的任意文件夹中添加,删除或可能读取文件。这可能导致非法读取其他用户凭据,包括SYSADMIN帐户,阅读其他用户的电子邮件,或将电子邮件或文件添加到其他用户的帐户。该漏洞已在10.2410.25版本中进行了修复。 

  CVE-2019-12927存储型和反射型XSS漏洞,可能被未经身份验证的攻击者利用。一旦用户打开恶意电子邮件,就会执行XSS有效负载。然后,可以通过向所有人发送更多电子邮件或利用聊天消息中存在的另一个存储的XSS问题来将其用于定位应用程序的所有用户。如果恶意邮件在局域网内进行大范围传播,整个邮件网络内的机器可能沦为攻击者控制的僵尸网络。该漏洞已在10.2410.25版本中进行了修复。 

   CVE-2019-12926:错误的访问控制,MailEnable解决方案在某些情况下使用适当的访问控制检查。因此,当以用户不该具有执行权限的用户身份登录时,可以进行越权操作操作,也可以访问应用程序中使用的帐户本应没有足够访问权限的区域。该漏洞已在10.24版本中进行了修复。 

3、 影响范围

  目前受影响的MailEnable版本: 

  MailEnable < 10.24 

4、 处置建议

  官方尚未发布该漏洞修复补丁,请及时关注官方消息。我单位也将持续关注此次漏洞进展,最快速度给出完整的解决方案。  

5、参考链接

  1) https://www.mailenable.com/ 

  2) http://www.mailenable.com/Premium-ReleaseNotes.txt 

  3) https://www.nccgroup.trust/uk/our-research/technical-advisory-multiple-vulnerabilities-in-mailenable/