核心内容摘要
少女心事与力量的碰撞:当“巴雷特”遇上“小少女”
漏洞名称SmarterMail ConnectToHub /api/v1/settings/sysadmin/connect-to-hub 命令执行漏洞CVE-
风险等级高危漏洞描述SmarterMail 是一款由 SmarterTools 公司开发的企业级邮件服务器软件适用于 Windows 平台。
它提供完整的电子邮件、日历、联系人、任务管理和即时消息功能支持标准协议如 SMTP、POP
IMAP 以及 CalDAV 和 CardDAV便于与各类邮件客户端如 Outlook、Thunderbird、移动设备等集成。
该漏洞源于 ConnectToHub API 接口未对访问者进行身份验证。
攻击者可通过构造特定请求诱导 SmarterMail 服务器指向恶意 HTTP 服务器进而向 SmarterMail 返回恶意操作系统命令。
攻击者可以远程执行任意命令完全控制受影响的系统导致数据泄露、服务中断等严重后果。
目前该漏洞PoC和技术细节已公开。
鉴于该漏洞影响范围较大建议客户尽快做好自查及防护。
FOFA自检语句app“SmarterTools-SmarterMail”受影响版本SmarterMail Build 9511临时修复方案官方已发布安全补丁请及时更新至最新版本SmarterMail Build 9511下载地址https://www.smartertools.com/smartermail/downloads漏洞检测工具鉴于该漏洞影响范围较大建议优先处置排查Goby EXP效果如视频演示如下查看Goby更多漏洞Goby历史漏洞合集