- 首頁
- 更新資訊
- 漏洞修補
MailSherlock 郵件稽核歸檔系統
2024-04-29|Command Injection|TVN-202404010|CVE-2024-4299
| TVN ID | TVN-202404010 |
| CVE ID | CVE-2024-4299 |
| CVSS |
7.2 (High) CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
| 影響產品 |
影響產品與版本: HGiga iSherlock (包含 MailSherlock , SpamSherlock, AuditSherlock) 4.5、5.5 影響套件: iSherlock 4.5:iSherlock-sysinfo < 4.5-147 iSherlock 5.5:iSherlock-sysinfo < 5.5-147 |
| 問題描述 | 桓基科技 iSherlock (包含 MailSherlock , SpamSherlock, AuditSherlock)之系統設定介面未對特定功能參數進行特殊字元過濾,已取得管理權限之遠端攻擊者,可利用此漏洞進行 Command Injection 攻擊執行系統任意指令。 |
| 解決方法 |
更新 iSherlock 4.5 之套件 iSherlock-sysinfo 至 4.5-147 或以後版本 更新 iSherlock 5.5 之套件 iSherlock-sysinfo 至 5.5-147 或以後版本 |
| 漏洞通報者 | Dong-Jie Chen (CHT Security) |
| 公開日期 | 2023-04-29 |
桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。
針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線:
+886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
2024-04-29|Command Injection|TVN-202404009|CVE-2024-4298
| TVN ID | TVN-202404009 |
| CVE ID | CVE-2024-4298 |
| CVSS |
7.2 (High) CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
| 影響產品 |
影響產品與版本: HGiga iSherlock (包含 MailSherlock , SpamSherlock, AuditSherlock) 4.5、5.5 影響套件: iSherlock 4.5:iSherlock-query < 4.5-188 iSherlock 5.5:iSherlock-query < 5.5-188 |
| 問題描述 | 桓基科技 iSherlock (包含 MailSherlock , SpamSherlock, AuditSherlock)之信件查詢介面未對特定功能參數進行特殊字元過濾,已取得管理權限之遠端攻擊者,可利用此漏洞進行 Command Injection 攻擊執行系統任意指令。 |
| 解決方法 |
更新 iSherlock 4.5 之套件 iSherlock-query 至 4.5-188 或以後版本 更新 iSherlock 5.5 之套件 iSherlock-query 至 5.5-188 或以後版本 |
| 漏洞通報者 | Dong-Jie Chen (CHT Security) |
| 公開日期 | 2023-04-29 |
桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。
針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線:
+886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
2024-04-29|Arbitrary File Download|TVN-202404008|CVE-2024-4297
| TVN ID | TVN-202404008 |
| CVE ID | CVE-2024-4297 |
| CVSS |
4.9 (Medium) CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
| 影響產品 |
影響產品與版本: HGiga iSherlock (包含 MailSherlock , SpamSherlock, AuditSherlock) 4.5、5.5 影響套件: iSherlock 4.5:iSherlock-sysinfo < 4.5-147 iSherlock 5.5:iSherlock-sysinfo < 5.5-147 |
| 問題描述 | 桓基科技 iSherlock (包含 MailSherlock , SpamSherlock, AuditSherlock)之系統設定介面未對特定功能參數進行特殊字元過濾,已取得管理權限之遠端攻擊者可利用此漏洞下載任意系統檔案。 |
| 解決方法 |
更新 iSherlock 4.5 之套件 iSherlock-sysinfo 至 4.5-147 或以後版本 更新 iSherlock 5.5 之套件 iSherlock-sysinfo 至 5.5-147 或以後版本 |
| 漏洞通報者 | Dong-Jie Chen (CHT Security) |
| 公開日期 | 2023-04-29 |
桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。
針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線:
+886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
2024-04-29|Arbitrary File Download|TVN-202404007|CVE-2024-4296
| TVN ID | TVN-202404007 |
| CVE ID | CVE-2024-4296 |
| CVSS |
4.9 (Medium) CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
| 影響產品 |
影響產品與版本: HGiga iSherlock (包含 MailSherlock , SpamSherlock, AuditSherlock) 4.5、5.5 影響套件: iSherlock 4.5:iSherlock-useradmin < 4.5-149 iSherlock 5.5:iSherlock-useradmin < 5.5-149 |
| 問題描述 | 桓基科技 iSherlock (包含 MailSherlock , SpamSherlock, AuditSherlock)之帳戶管理介面未對特定功能參數進行特殊字元過濾,已取得管理權限之遠端攻擊者可利用此漏洞下載任意系統檔案。 |
| 解決方法 |
更新iSherlock 4.5 之套件 iSherlock-useradmin 至 4.5-149 或以後版本 更新 iSherlock 5.5 之套件 iSherlock-useradmin 至 5.5-149 或以後版本 |
| 漏洞通報者 | Dong-Jie Chen (CHT Security) |
| 公開日期 | 2023-04-29 |
桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。
針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線:
+886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
2023-02-24|Broken Access Control|TVN-202302010|CVE-2023-24842
| TVN ID | TVN-202302010 |
| CVE ID | CVE-2023-24842 |
| CVSS |
5.3 (Medium) CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
| 影響產品 |
HGiga MailSherlock 系統版本:v4.5 系統套件:iSherlock-user-4.5 <= 4.5-161 & iSherlock-antispam-4.5 <=4.5-167 |
| 問題描述 | MailSherlock特定功能未進行適當的權限控管,遠端攻擊者不須權限,變更URL中的使用者及信件ID,即可查看其他使用者部分信件內容(如信件主旨)。 |
| 解決方法 |
更新MailSherlock之iSherlock-user及iSherlock-antispam系統套件至以下版本:iSherlock-user-4.5-162.386.rpm & iSherlock-antispam-4.5-168.386.rpm |
| 漏洞通報者 | Dong-Jie Chen (CHT Security) |
| 公開日期 | 2023-02-24 |
桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。
針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線:
+886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
2023-02-24|Command Injection|TVN-202302009|CVE-2023-24841
| TVN ID | TVN-202302009 |
| CVE ID | CVE-2023-24841 |
| CVSS |
7.2 (High) CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
| 影響產品 |
HGiga MailSherlock
系統版本:v4.5 系統套件:iSherlock-sysinfo-4.5 <= 4.5-132 |
| 問題描述 | MailSherlock連線紀錄查詢功能未對參數值進行特殊字元過濾,遠端攻擊者以管理者權限登入後,即可利用此漏洞進行Command Injection攻擊,執行任意系統指令,進而對系統進行控制,並中斷服務。 |
| 解決方法 | 更新MailSherlock之iSherlock-sysinfo系統套件至iSherlock-sysinfo-4.5-133.386.rpm |
| 漏洞通報者 | Dong-Jie Chen (CHT Security) |
| 公開日期 | 2023-02-24 |
桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。
針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線:
+886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
2023-02-24|SQL Injection|TVN-202302008|CVE-2023-24840
| TVN ID | TVN-202302008 |
| CVE ID | CVE-2023-24840 |
| CVSS |
7.2 (High) CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
| 影響產品 |
HGiga MailSherlock 系統版本:v4.5 系統套件:iSherlock-query-4.5 <= 4.5-167 |
| 問題描述 | MailSherlock信件查詢功能未對使用者輸入之參數進行驗證,遠端攻擊者以管理者權限登入後,即可注入任意SQL語法讀取、修改及刪除資料庫。 |
| 解決方法 | 更新MailSherlock之iSherlock-query系統套件至iSherlock-query-4.5-168.386.rpm |
| 漏洞通報者 | Dong-Jie Chen (CHT Security) |
| 公開日期 | 2023-02-24 |
桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。
針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線:
+886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
2023-02-24|Reflected XSS|TVN-202302007|CVE-2023-24839
| TVN ID | TVN-202302007 |
| CVE ID | CVE-2023-24839 |
| CVSS |
6.1 (Medium) CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| 影響產品 |
HGiga MailSherlock 系統版本:v4.5 系統套件:iSherlock-user-4.5 <= 4.5-161 & iSherlock-antispam-4.5 <=4.5-167 |
| 問題描述 | MailSherlock特定功能未過濾URL參數中的特殊字元,遠端攻擊者不須權限,即可注入JavaScript語法進行攻擊,進行反射型XSS (Reflected Cross-site scripting)攻擊。 |
| 解決方法 |
更新MailSherlock之iSherlock-user及iSherlock-antispam系統套件至以下版本:iSherlock-user-4.5-162.386.rpm & iSherlock-antispam-4.5-168.386.rpm |
| 漏洞通報者 | Dong-Jie Chen (CHT Security) |
| 公開日期 | 2023-02-24 |
桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。
針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線:
+886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
PowerStation Plus 智慧型網路閘道系統
2023-02-24|Information Leakage|TVN-202302006|CVE-2023-24838
| TVN ID | TVN-202302006 |
| CVE ID | CVE-2023-24838 |
| CVSS |
9.8 (Critical) CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 影響產品 | HGiga PowerStation firmware version < x64.6.2.165 |
| 問題描述 | PowerStation特定功能存有Information Leakage漏洞,遠端攻擊者不須權限,連線至伺服器時,系統即回傳含有管理員明文帳號密碼的伺服器設定檔,進而對系統進行控制,並中斷服務。 |
| 解決方法 | Update PowerStation firmware version to x64.6.2.165, then reboot PowerStation. |
| 漏洞通報者 | Chiu TsungShu, Dong-Jie Chen (CHT Security) |
| 公開日期 | 2023-02-24 |
桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。
針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線:
+886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
2023-02-24|Command Injection|TVN-202302005|CVE-2023-24837
| TVN ID | TVN-202302005 |
| CVE ID | CVE-2023-24837 |
| CVSS |
8.8 (High) CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| 影響產品 | HGiga PowerStation firmware version < x64.6.2.165 |
| 問題描述 | PowerStation之遠端管理功能未對使用者輸入進行特殊字元過濾,遠端攻擊者以一般使用者權限登入後,即可利用此漏洞進行Command Injection攻擊,執行任意程式指令或中斷系統服務。 |
| 解決方法 | Update PowerStation firmware version to x64.6.2.165, then reboot PowerStation. |
| 漏洞通報者 | Chiu TsungShu (CHT Security) |
| 公開日期 | 2023-02-24 |
桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。
針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線:
+886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
OAKlouds 企業協同作業入口網
2024-02-15| Arbitrary File Read And Delete| TVN-202402003|CVE-2024-26261
| TVN ID | TVN-202402003 |
| CVE ID | CVE-2024-26261 |
| CVSS |
9.8 (High) CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 影響產品 |
受影響之套件版號: OAKlouds-organization-2.0 188(不含)以前版本 OAKlouds-organization-3.0 188(不含)以前版本 OAKlouds-webbase-3.0 1051(不含)以前版本 OAKlouds-webbase-2.0 1051(不含)以前版本 |
| 問題描述 | 桓基科技 OAKlouds 部分模組的檔案下載功能存在 Arbitrary File Read And Delete 漏洞,攻擊者可將檔案路徑放入特定請求的參數中,即可在不需登入的情況下下載該檔案,且下載完後該檔案會被刪除。 |
| 解決方法 |
- 更新OAKlouds-organization-2.0至188(含)以後版本 - 更新OAKlouds-organization-3.0至188(含)以後版本 - 更新OAKlouds-webbase-2.0至1051(含)以後版本 - 更新OAKlouds-webbase-3.0至1051(含)以後版本 |
| 漏洞通報者 | Fi Liu (CHT Security) |
| 公開日期 | 2024-02-15 |
桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。
針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線:
+886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
2024-02-15| Command Injection| TVN-202402002|CVE-2024-26260
| TVN ID | TVN-202402002 |
| CVE ID | CVE-2024-26260 |
| CVSS |
9.8 (High) CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 影響產品 |
受影響之套件版號: OAKlouds-organization-2.0 188(不含)以前版本 OAKlouds-organization-3.0 188(不含)以前版本 OAKlouds-webbase-3.0 1051(不含)以前版本 OAKlouds-webbase-2.0 1051(不含)以前版本 |
| 問題描述 | 桓基科技 OAKlouds 部分模組的同步功能存在 OS Command Injection 漏洞,允許遠端攻擊者在特定請求的參數內帶入系統指令,即可在不需權限的情況下於遠端伺服器執行任意程式碼。 |
| 解決方法 |
- 更新OAKlouds-organization-2.0至188(含)以後版本 - 更新OAKlouds-organization-3.0至188(含)以後版本 - 更新OAKlouds-webbase-2.0至1051(含)以後版本 - 更新OAKlouds-webbase-3.0至1051(含)以後版本 |
| 漏洞通報者 | Fi Liu (CHT Security) |
| 公開日期 | 2024-02-15 |
桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。
針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線:
+886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
2023-03-02| Arbitrary File Upload| TVN-202303001|CVE-2023-25909
| TVN ID | TVN-202303001 |
| CVE ID | CVE-2023-25909 |
| CVSS |
9.8 (Critical) CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 影響產品 |
桓基科技HGiga OAKlouds OAKSv2 桓基科技HGiga OAKlouds OAKSv3 |
| 問題描述 | 桓基科技HGiga OAKlouds上傳功能未對上傳檔案進行檢查限制,導致不須登入的遠端攻擊者可以上傳任意檔案,進而執行任意程式碼或中斷系統服務。 |
| 解決方法 |
- 更新入口網版面配置模組套件OAKlouds-layout-2.0 到 OAKlouds-layout-2.0-10 - 更新入口網版面配置模組套件OAKlouds-layout-3.0 到 OAKlouds-layout-3.0-10 |
| 漏洞通報者 | Wayne Lee (CHT Security) |
| 公開日期 | 2023-03-02 |
桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。
針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線:
+886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
2022-08-30|SQL Injection|TVN-202208003|CVE-2022-38118
| TVN ID | TVN-202208003 |
| CVE ID | CVE-2022-38118 |
| CVSS |
8.8 (High) CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| 影響產品 |
OAKlouds行動入口網(OAKSv2、OAKSv3)會議室管理模組,受影響之套件版號: OAKlouds-mol_metting-2.0 <= OAKlouds-mol_metting-2.0-163 OAKlouds-mol_metting-3.0 <= OAKlouds-mol_metting-3.0-163 |
| 問題描述 | OAKlouds行動入口網之會議室系統功能參數未對使用者輸入進行驗證,遠端攻擊者取得一般使用者權限後,即可注入任意SQL語法讀取、修改及刪除資料庫。 |
| 解決方法 |
OAKlouds行動入口網(OAKSv2、OAKSv3)會議室管理模組,修正的套件版號: OAKlouds-mol_metting-2.0 >= OAKlouds-mol_metting-2.0-164 OAKlouds-mol_metting-3.0 >= OAKlouds-mol_metting-3.0-164 |
| 漏洞通報者 | Dong-Jie Chen (CHT Security) |
| 公開日期 | 2022-08-30 |
桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。
針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線:
+886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com