村榮資訊雷電郵件伺服器含有2個漏洞,請儘速更新
- 上版日期:2022-12-8
由村榮資訊開發的雷電伺服器軟體(RaidenMAILD Mail Server),硬體設備需求低且安裝與使用上難度低,因此受到中小企業與教育單位的青睞。不過,資安廠商安碁資訊(Acer Cyber Security Inc., ACSI)於2022年11月公布此產品有2個漏洞,請有使用此伺服器軟體者儘速更新避免遭受惡意攻擊;詳細漏洞內容如下:
- CVE-2022-41675
格式注入漏洞(Formula Injection),表單匯出功能未檢查所匯出的CSV檔案內容,遠端攻擊者若以一般使用者權限登入,並將惡意程式注入到表單內,當受害者下載該表單取得CSV檔案時,將會觸發惡意程式碼,導致遠程攻擊者可對系統進行任意操作或中斷服務。 - CVE-2022-41676
跨站腳本攻擊(Cross-Site Scripting, XSS),因郵件欄位未過濾輸入字串,遠端攻擊者若以一般使用者權限登入,於寄出的郵件欄位注入JavaScript惡意語法,當受害者瀏覽郵件後,便會觸發漏洞。
影響範圍:
RaidenMAILD Mail Server 4.7.4(含)以前的版本
建議措施:
更新版本至v4.7.4以上,請參考村榮資訊下載網頁,如下:
http://www.raidenmaild.com/tw/download.html
參考資料:
