桓基科技 MailSherlock 郵件歸檔稽核系統含有 CSRF 漏洞,導致攻擊者可以使特定帳號取得管理權限

TVN 編號:TVN-201904003


通報日期

2019-03-14

事件日期

2019-03-14

影響產品

  • MailSherlock MSR35 iSherlock-base 模組 iSherlock-base < 1.5.328
  • MailSherlock MSR35 iSherlock-sysinfo 模組 iSherlock-sysinfo < 1.5.196
  • MailSherlock MSR35 iSherlock-user 模組 iSherlock-user < 1.5.127
  • MailSherlock MSR35 iSherlock-useradmin 模組 iSherlock-useradmin < 1.5.239
  • MailSherlock MSR45 iSherlock-base 模組 iSherlock-base < 4.5-206
  • MailSherlock MSR45 iSherlock-sysinfo 模組 iSherlock-sysinfo < 4.5-109
  • MailSherlock MSR45 iSherlock-user 模組 iSherlock-user < 4.5-81
  • MailSherlock MSR45 iSherlock-useradmin 模組 iSherlock-useradmin < 4.5-106

問題描述

系統端收到請求時未針對Cross-site request forgery (CSRF) 攻擊做防護,可使攻擊者透過useradmin/cf_new.cgi?chief=&wk_group=full&cf_name=test&cf_account=test&cf_email=&cf_acl=Management&apply_lang=&dn= 使特定帳號取得最高權限。

解決方法

更新上述模組至最新版本

CVE ID

相關連結

漏洞通報者

AurOraD@d