:::
有關【資安預警】Openfind MailGates/MailAudit產品具有Command Injection漏洞,請各校資安聯絡人儘速確認並進行更新,請查照。
公告日期:2020-11-09 ~ 2021-04-30
公告單位:資網中心 徐敏晃
公告類別:資網中心
點閱數:1373
一、依據臺灣學術網路危機處理中心ANA資安預警第2020110309112525電子郵件通告單辦理。
二、轉知 臺灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-202011-0001,
TWCERT/CC發布資安漏洞,Openfind MailGates/MailAudit漏洞資訊如下:
TVN ID:TVN-202010005
CVE ID:CVE-2020-25849
MailGates與MailAudit產品具Command Injection漏洞,攻擊者取得一般使用者的權限後,得於url的cgi參數注入系統指令,請檢視相關產品之版本,並更新到最新版。
情資分享等級: WHITE(情資內容為可公開揭露之資訊)
三、影響平台:
Openfind MailGates v4.0、v5.0;
Openfind MailAudit v4.0、v5.0
四、建議措施:
更新 Patch 至 5.2.8.048 版本
五、參考資料:
(一)https://www.twcert.org.tw/tw/cp-132-4118-6292c-1.html
(二)CVE-2020-25849:https://nvd.nist.gov/vuln/detail/CVE-2020-25849