Coremail apiws模块安全漏洞:CoremailXT3.0.1版本至XT5.0.9版本中的apiws模块上的部分WebService服务存在安全漏洞。攻击者可利用该漏洞在未授权的情况下远程访问Coremail部分服务接口,进行文件操作,并且在未授权的情况下,获知Coremail服务器的系统配置文件,造成数据库连接参数等系统敏感配置信息泄露。
整改建议:目前厂商已发布升级补丁以修复漏洞。
临时修补方案如下:
(1)在不影响使用的情况下,仅允许VPN连接后才可访问;
(2)在Web服务器(nginx/apache)上限制外网对 /mailsms 路径的访问。
