TWCERT-電子報-TVN漏洞公告-桓基科技｜iSherlock

桓基科技｜iSherlock - OS Command Injection

TVN ID	TVN-202507003
CVE ID	CVE-2025-7451
CVSS	9.8 (Critical) CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
影響產品	影響產品與版本： Hgiga iSherlock (包含 MailSherlock、SpamSherlock、AuditSherlock)4.5、5.5 影響套件： iSherlock-4.5: iSherlock-maillog-4.5 < 137 iSherlock-smtp-4.5 < 732 iSherlock-5.5: iSherlock-maillog-5.5 < 137 iSherlock-smtp-5.5 < 732
問題描述	桓基科技開發之iSherlock存在OS Command Injection漏洞，允許未經身分鑑別之遠端攻擊者注入任意作業系統指令並於伺服器上執行。此漏洞已遭開採利用，請盡速更新。
解決方法	更新套件iSherlock-maillog-4.5至137(含)以後版本更新套件iSherlock-smtp-4.5至732(含)以後版本更新套件iSherlock-maillog-5.5至137(含)以後版本更新套件iSherlock-smtp-5.5至732(含)以後版本
漏洞通報者	謝庭維 (CHT Security)
公開日期	2025-07-11

桓基科技｜iSherlock - OS Command Injection