【資安漏洞預警】Openfind MAIL2000 Webmail Pre-Auth Cross-Site Scripting and Open Redirect

主旨：Openfind MAIL2000 Webmail Pre-Auth Cross-Site Scripting and Open Redirect

說明：

• 內容說明
  
  • 轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201911-0002、TWCERTCC-ANA-201911-0003、TWCERTCC-ANA-201911-0004
    
  • TWCERTCC-ANA-201911-0002(CVE-2019-15071)：
    在MAIL2000 v 6.0 與 v7.0 之cgi-bin頁面下存在cross-site scripting (XSS)漏洞，在未授權的情況下可透過ACTION 參數執行惡意程式碼。
    
  • TWCERTCC-ANA-201911-0003(CVE-2019-15072)：
    在MAIL2000 v 6.0 與 v7.0 之cgi-bin 登入頁面下存在cross-site scripting (XSS)漏洞，在未授權的情況下可透過任何參數執行惡意程式碼。
    
    • 資安通報編號 OF-ISAC-19-003 (2019/03/21 發送)
    • Patch 069 修正 (2019/03/20 發佈)
  • TWCERTCC-ANA-201911-0004(CVE-2019-15073)：
    在MAIL2000 v 6.0 與 v7.0 存在Open Redirect之漏洞，在任何瀏覽器上開啟MAIL2000皆可在未授權的情況下轉址至惡意網站。
    
    • 資安通報編號 OF-ISAC-19-005 (2019/09/19 發送)
    • Patch 076 修正 (2019/09/17 發佈)
• 影響平台: MAIL2000 v 6.0 與 v7.0
  
• 建議措施:
  更新至最新版本
  
• 參考資料:
  1. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15071
  2. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15072
  3. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15073

計算機與通訊中心
網路系統組 敬啟