MailSherlock 郵件歸檔稽核系統含有 CSRF 漏洞,導致攻擊者可以修改白名單

TVN 編號:TVN-201904002


公開日期

2019-05-09

影響產品

  • MailSherlock MSR35 iSherlock-base 模組 < 1.5-328
  • MailSherlock MSR35 iSherlock-sysinfo 模組 < 1.5-196
  • MailSherlock MSR35 iSherlock-user 模組 < 1.5-127
  • MailSherlock MSR35 iSherlock-useradmin 模組 < 1.5-239
  • MailSherlock MSR45 iSherlock-base 模組 < 4.5-206
  • MailSherlock MSR45 iSherlock-sysinfo 模組 < 4.5-109
  • MailSherlock MSR45 iSherlock-user 模組 < 4.5-81
  • MailSherlock MSR45 iSherlock-useradmin 模組 < 4.5-106

問題描述

系統端收到請求時未針對Cross-site request forgery (CSRF) 攻擊做防護,可使攻擊者透過user/save_list.php?ACSION=&type=email&category=white&locate=big5&cmd=add&new=hacker@socialengineering.com&new_memo=&add=%E6%96%B0%E5%A2%9E將惡意郵件來源加入白名單。

解決方法

更新上述模組至最新版本

CVE ID

相關連結

漏洞通報者

AurOraD@d