【漏洞通告】Apache James STARTTLS命令注入漏洞(CVE-2022-28220)

程式維他命安全

0x00 漏洞概述

CVE ID

CVE-2022-28220

發現時間

2022-09-20

類 型

命令注入

等 級

高危

遠端利用

影響範圍

攻擊複雜度

使用者互動

PoC/EXP

在野利用

0x01 漏洞詳情

James (Java Apache Mail Enterprise Server) 是由Java語言編寫的,整合了諸如POP3,SMTP等郵件協議的開源企業郵件伺服器,它是Apache組織的一個子項目。

9月19日,Apache發佈安全公告,修復了James中的一個命令注入漏洞(CVE-2022-28220)。

3.6.3和3.7.1版本之前的Apache James容易受到依賴於使用STARTTLS命令的緩衝攻擊,這可能會導致中間人命令注入攻擊,從而導致使用者憑據等敏感資訊洩露。

影響範圍

Apache James版本 < 3.7.1

Apache James版本 < 3.6.3

0x02 安全建議

目前此漏洞已經修復,受影響使用者可升級到Apache James 3.6.3、3.7.1或更高版本。

下載連結:

https://james.apache.org/download.cgi

0x03 參考連結

https://www.mail-archive.com/announce@apache.org/msg07588.html

https://james.apache.org/james/update/2022/08/26/james-3.7.1.html

0x04 版本資訊

版本

日期

修改內容

V1.0

2022-09-20

首次發佈

相關文章