01 漏洞概况
Winmail 是一款功能丰富的邮件服务器软件,支持 Windows 和 Linux 平台,可适配国产化信创平台,具备SMTP、POP3、IMAP、Webmail、邮件归档、Web管理、邮件网关、防毒杀毒、短信提醒、网络硬盘等功能。
2023年10月,悬镜供应链安全情报中心在Winmail邮件系统中发现一个高危安全漏洞。恶意攻击者可利用该漏洞实现未授权窃取受害者邮箱所有邮件,甚至篡改邮箱账户密码接管邮箱权限。
悬镜供应链安全情报中心在第一时间向国家信息安全漏洞库CNNVD通告该漏洞细节,也得到Winmail厂商积极确认及修复,近期Winmail已正式发布产品补丁修复该安全漏洞。
经分析研判,该漏洞成因是Winmail邮件系统未对邮件内容进行严格安全过滤,导致攻击者可在邮件内容中嵌入恶意代码。攻击者可在未授权的情况下,向受害者邮箱发送嵌入漏洞利用代码的恶意邮件,受害者只要浏览该恶意邮件,即可触发漏洞并执行利用代码。
02 漏洞影响范围
产品名称 | Winmail邮件系统 |
受影响版本 | Winmail v7.1 for Windows及以下版本 Winmail Pro v5.1 for Linux及以下版本 |
影响范围 | 万级 |
有无修复补丁 | 有 |
Winmail邮件系统在国内公网资产量约1w+,覆盖众多关基行业客户(机关事业单位、税务、电力、电信、物流、医疗、证券、电视媒体、进出口等)。
03 漏洞复现
远程加载执行任意JS
窃取受害者邮箱邮件
04 修复方案
官方修复方案
官方已发布漏洞补丁:
https://www.winmail.cn/download_old.php
临时缓解措施
用户使用Winmail邮件系统时,不要随意浏览未知来源的邮件。
悬镜产品侧支持情况
悬镜安全全线产品已支持该漏洞的检测,详情请联系技术支持团队。
05 时间线
2023-10-16
悬镜供应链安全情报中心捕获Winmail邮件系统高危安全漏洞。
2023-10-19
悬镜供应链安全情报中心向CNNVD报送该漏洞。
2023-12-24
CNNVD确认该漏洞,漏洞编号为CNNVD-2023-16889206 。
2024-02-05
Winmail厂商积极确认并修复该漏洞。
2024-03-04
悬镜供应链安全情报中心披露漏洞。
悬镜供应链安全情报中心是国内首个数字供应链安全情报研究中心,依托悬镜安全团队强大的供应链SBOM管理与监测能力和AI安全大数据云端分析能力,对全球数字供应链安全漏洞、投毒事件、组件风险等进行实时动态监测与溯源分析,为用户智能精准预警“与我有关”的数字供应链安全情报。
+
推荐阅读
关于“悬镜安全”
悬镜安全,起源于北京大学网络安全技术研究团队”XMIRROR”,创始人子芽。作为数字供应链安全开拓者和DevSecOps敏捷安全领导者,始终专注于以“代码疫苗”技术为内核,凭借原创专利级”全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报服务”的第三代DevSecOps数字供应链安全管理体系,创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。