AfterLogic WebMail存在多个版本:
AfterLogic WebMail Pro
AfterLogic WebMail lite
这两个应该是轻量级的,一个是高级版本,都是php开发的
都存在同样的问题,如果web服务器配置不到,即可导致严重信息泄露
从官方下载AfterLogic WebMail lite版本:
在/data/seetings/目录下存在这样一个xml文件settings.xml
来看看这个xml里面的内容:
全部是系统的配置信息,包括后台账户,数据库账号信息,系统配置等信息
因为这是php开发的系统,如果配置不当的话就会导致xml解析失败导致信息泄露
我们来看看外网案例:
AfterLogic WebMail Pro的案例:
这里有后台账户,数据库信息等
这里的后台账户用户名基本上都是一样的mailadm
密码是一串md5值,但是千万不要想着去解密
这里很郁闷,直接拿这个md5串作为密码就登陆成功了。。。。
后台地址:http://**.**.**.**/adminpanel/
再来看看AfterLogic WebMail lite的案例:
同样也可以那这里的账户登陆后台
后台地址:http://**.**.**.**/adminpanel/
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2015-07-28 08:07
厂商回复:
CNVD确认并复现所述情况,应为用户案例默认配置风险,不作为通用漏洞确认.由于涉及案例均位于国外,暂未能建立直接处置渠道.
最新状态:
暂无