mailcow 操作系统命令注入漏洞

CNNVD-ID编号	CNNVD-202207-816
CVE编号	CVE-2022-31138
发布时间	2022-07-11
更新时间	2022-07-12
漏洞类型	操作系统命令注入
漏洞来源	N/A
危险等级	N/A
威胁类型	N/A
厂商	N/A

漏洞介绍

mailcow是一个邮件服务器套件。 mailcow 2022-06a之前版本存在操作系统命令注入漏洞，该漏洞源于可以通过操纵自定义参数 regexmess、skipmess、regexflag、delete2foldersonly、delete2foldersbutnot、regextrans2、pipemess 或 maxlinelengthcmd 来利用扩展权限漏洞来执行任意代码。

漏洞补丁

目前厂商已发布升级了mailcow 操作系统命令注入漏洞的补丁，mailcow 操作系统命令注入漏洞的补丁获取链接： https://github.com/mailcow/mailcow-dockerized/security/advisories/GHSA-vx9w-h33p-5vhc

参考网址

来源:MISC

链接：https://github.com/ly1g3/Mailcow-CVE-2022-31138
来源:MISC

链接：https://github.com/mailcow/mailcow-dockerized/releases/tag/2022-06a
来源:CONFIRM

链接：https://github.com/mailcow/mailcow-dockerized/security/advisories/GHSA-vx9w-h33p-5vhc
来源:MISC

链接：https://github.com/mailcow/mailcow-dockerized/commit/d373164e13a14e058f82c9f1918a5612f375a9f9

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202207-816