Coremail邮件系统存在配置信息泄露漏洞（CNVD-2019-16798）

OSCS 是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。在 Coremail XT5/XT6 版本中，邮件处理功能存在溢出风险，攻击者构造恶意邮件，向任意邮箱地址发送该恶意邮件，当服务器处理邮件时，会触发漏洞，造成任意命令执行等危害。官方公告认为该漏洞不能稳定复现，在实际场景中难以利用，危害有限。

Coremail邮件系统存在未授权访问，攻击者可获取管理员账号密码。

探索CoreMailUploadRce：一款强大的邮件上传漏洞利用工具 去发现同类优质开源项目:https://gitcode.com/ 项目简介 CoreMailUploadRce 是一个开源项目，由开发者Jimoyong开发并维护。它主要是一款针对Coremail邮件系统上传功能的漏洞利用工具。通过此工具，安全研究人员和渗透测试员能够模拟攻击场景，以检测并防范潜在的安全风险。 技术分析 Cor...

Coremail-0day敏感文件泄露漏洞批量检测脚本：保护您的邮件系统安全 Coremail-0day敏感文件泄露漏洞送附批量检测脚本 项目地址: https://gitcode.com/Resource-Bundle-Col...

Coremail产品诞生于1999年，经过二十多年发展，如今从亿万级别的运营系统，到几万人的大型企业，都有了Coremail的客户。 截止2019年，Coremail邮件系统产品在国内已拥有10亿终端用户，是目前国内拥有邮箱使用用户最多的邮件系统。Coremail今天不但为网易（126、163、yeah）、移动，联通等知名运营商提供电子邮件整体技术解决方案及企业邮局运营服务，还为石油、钢铁、...

近日，CNVD（国家信息安全漏洞共享平台）公告Apache Tomcat被曝存在文件包含漏洞。由于Tomcat AJP协议存在实现缺陷导致相关参数可控，攻击者利用该漏洞可通过构造特定参数，读取服务器webapp下的任意文件。若服务器端同时存在文件上传功能，攻击者可进一步实现远程代码的执行，威胁企业信息安全。 Tomcat 作为目前较为流行的 Web 应用服务器，应用范围较广，威胁影响较大。据...

也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.

一、OA系统 泛微(Weaver-Ecology-OA) ???? 泛微OA E-cology RCE(CNVD-2019-32204) - 影响版本7.0/8.0/8.1/9.0 https://xz.aliyun.com/t/6560 ???? 泛微OA WorkflowCenterTreeData接口注入(限oracle数据库) https://zhuanlan.zhihu.com/p/86082614 ???? 泛微ecology OA数据库配置信息泄露 https://www.cnblogs.co

2021 HW 漏洞清单汇总 2021.4.8——4.22 披露时间 涉及商家/产品漏洞描述 2021/04/08启明星辰天清汉马USG防火墙存在逻辑缺陷漏洞（历史漏洞） CNVD-2021-17391 启明星辰 天清汉马USG防火墙 逻辑缺陷漏洞 CNVD-2021-12793 2021/04/08禅道项目管理软件11.6禅道 11.6 sql注...

漏洞介绍 Coremail邮件系统是业内唯一一款商用的超大规模运营级邮件系统，开始研发于1999年 [1] ，其前身为中国第一套中文电子邮件系统163\126，目前在中国的客户包括网易系列邮箱、中国移动手机邮箱(139)等国内领先的邮箱服务运营商，以及宝钢、首钢、南方电网、农业银行、交通银行、华润、神华、华能等世界500强中国企业，截止2019年，Coremail邮件系统产品在国内已拥有10亿终...

2020年，受全球新型冠状病毒疫情的影响，高校教学、管理工作全面转向远程运行，高校所面临的数据隐私与信息安全威胁达到了历史最高水平。 高校远程网络授课已成常态化，提升高校的信息安全水平已刻不容缓! 而高校邮件系统承载着师生大量的学术信息往来，重要性不言而喻。 而且由于高校教育单位属于国家“关基”单位，其数据的特殊性与敏感性导致成为某些攻击者的重点攻击目标。 比如，CAC邮件安全大数据中心发现，在某国内某顶尖高校中，某些学生和老师的邮箱账号每日遭受的暴力破解次数高达7000+！ 如何加强邮件安全保护

Coremail论客邮件系统开始研发于1999年，是中国第一套中文邮件系统，目前在中国大陆地区拥有超过10亿终端用户，是网易、中华网等运营商至今一直使用的邮件系统，也是政府、事业单位、科教、企业等机构广泛使用的邮件系统。 2019年6月，网上流传出Coremail论客邮件系统配置文件泄露的漏洞，该漏洞无需认证即可获取邮件系统的配置文件内容。 Coremail官网发布的漏洞公告：《关于Corem...

Coremail在安全研究技术和漏洞挖掘技术的实力得到了国家权威机构的认可！

#-- Coding: utf-8 -- #Author: Vulkey_Chen #Email: gh0stkey@hi-ourlife.com #Website: www.hi-ourlife.com #About: mailsms config dump PoC import requests,sys def mailsmsPoC(url): url = url + “/mailsms/s?...

被动扫描工具（myscan） 文章目录被动扫描工具（myscan）前言运行原理演示地址如何运行检测插件优势与不足 前言 myscan是参考awvs的poc目录架构，pocsuite3、sqlmap等代码框架，以及搜集互联网上大量的poc，由python3开发而成的被动扫描工具。 此项目源自个人开发项目，结合个人对web渗透，常见漏洞原理和检测的代码实现，通用poc的搜集，被动扫描器设计，以及信息搜集等思考实践。 运行原理 myscan依赖burpsuite和redis，需启动redis和burpsuite插

WEB中间件Tomcat是Apache Jakarta软件组织的一个子项目，Tomcat是一个JSP/Servlet容器，它是在SUN公司的JSWDK（Java Server Web Development Kit）基础上发展起来的一个JSP和Servlet规范的标准实现，使用Tomcat可以体验JSP和Servlet的最新规范。是一个运行EJB的J2EE应用服务器。它是开放源代码的项目，遵循最新的J2EE规范。

危害：不需要密码登录。