报告编号：B6-2019-061401

报告来源：360-CERT

报告作者：360-CERT

更新日期：2019-06-14

0x00 事件背景

2019年6月14日上午，360CERT监控到互联网中在传播Coremail的配置信息泄露的POC，通过360CERT研判分析，确认其POC有效。通过POC可获取Coremail配置文件信息，包括配置IP、端口、文件路径、数据库密码、用户名等信息。 百度百科介绍：Coremail产品诞生于1999年，经过二十多年发展，如今从亿万级别的运营系统，到几万人的大型企业，都有了Coremail的客户。截止2019年，Coremail邮件系统产品在国内已拥有10亿终端用户 ，是目前国内拥有邮箱使用用户最多的邮件系统。Coremail今天不但为网易（126、163、yeah）、移动，联通等知名运营商提供电子邮件整体技术解决方案及企业邮局运营服务，还为石油、钢铁、电力、政府、金融、教育、尖端制造企业等用户提供邮件系统软件和反垃圾服务。

0x01 漏洞细节

POC:

/mailsms/s?func=ADMIN:appState&dumpConfig=/

通过域名或者IP等地址+POC即可获取目标邮件服务器配置文件，配置文件包括：文件路径、IP、端口、数据库用户、密码等敏感信息。 本地测试截图：

0x02 影响范围

影响产品：Coremail XT 3.0.1至XT 5.0.9版本，XT 5.0.9a及以上版本已修复该漏洞。

通过360CERT QUAKE资产检索系统监测发现，全球近17364个独立IP使用Coremail。使用Coremail的IP地址主要使用的操作系统为Linxu 2.X，系统开放的服务主要为：HTTP、SMTP、POP3、IMAP、IMAPS。

0x03 修复建议

Coremail论客公司已发布补丁进行修复，针对Coremail XT5和Coremail XT3/CM5版本，补丁编号为CMXT5-2019-0002，程序版本1.1.0-alphabuild20190524(3813d273)。如已安装的程序包的版本号日期早于20190524，建议用户及时更新补丁：用户可以在Coremail云服务中心的补丁管理模块，根据补丁编号下载并按照操作指引进行手动更新。如有疑问，也可通过400-888-2488 或 surport@coremail.cn 联系厂商售后人员提供协助。

临时修补方法如下： 1、在不影响使用的情况下，仅允许VPN连接后才可访问； 2、在Web服务器（nginx/apache）上限制外网对 /mailsms 路径的访问。 建议使用Coremail构建邮件服务器的信息系统运营者立即自查，发现存在漏洞后及时修复。

0x04 时间线

2019-06-14 发现事件并确认

2019-06-14 Coremail发布补丁，编号为CMXT5-2019-0002