按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

發布日期:
字型大小:

HGiga MailSherlock 郵件歸檔稽核系統含有 CSRF 漏洞,導致攻擊者可以使特定帳號取得管理權限

TVN 編號 TVN-201904003
CVE ID CVE-2019-9883
公開日期 2019-05-09
影響產品 HGiga MailSherlock MSR35 iSherlock-base 模組 < 1.5-328
MailSherlock MSR35 iSherlock-sysinfo 模組 < 1.5-196
MailSherlock MSR35 iSherlock-user 模組 < 1.5-127
MailSherlock MSR35 iSherlock-useradmin 模組 < 1.5-239
MailSherlock MSR45 iSherlock-base 模組 < 4.5-206
MailSherlock MSR45 iSherlock-sysinfo 模組 4.5-109
MailSherlock MSR45 iSherlock-useradmin 模組 < 4.5-106
解決方法 更新上述模組至最新版本。
漏洞通報者 AurOraD@d
問題描述 HGiga MailSherlock 系統端收到請求時未針對Cross-site request forgery (CSRF) 攻擊做防護,可使攻擊者透過useradmin/cf_new.cgi?chief=&wk_group=full&cf_name=test&cf_account=test&cf_email=&cf_acl=Management&apply_lang=&dn= 使特定帳號取得最高權限。
回頁首