【漏洞預警】桓基科技開發之iSherlock存在OS Command Injection漏洞

• 主旨說明:【漏洞預警】桓基科技開發之iSherlock存在OS Command Injection漏洞

• 內容說明:
  • 轉發 台灣電腦網路危機處理暨協調中心 TWCERTCC-200-202507-00000007
  • 【桓基科技｜iSherlock - OS Command Injection】(CVE-2025-7451，CVSS：9.8) 桓基科技開發之iSherlock存在OS Command Injection漏洞，允許未經身分鑑別之遠端攻擊者注入任意作業系統指令並於伺服器上執行。此漏洞已遭開採利用，請盡速更新。
• 影響平台:
  • 影響產品與版本：
    • Hgiga iSherlock (包含 MailSherlock、SpamSherlock、AuditSherlock)4.5、5.5
  • 影響套件：
    • iSherlock-4.5:
    • iSherlock-maillog-4.5 137
    • iSherlock-smtp-4.5 732
    • iSherlock-5.5:
    • iSherlock-maillog-5.5 137
    • iSherlock-smtp-5.5 732
• 建議措施:
  • 更新套件iSherlock-maillog-4.5至137(含)以後版本
  • 更新套件iSherlock-smtp-4.5至732(含)以後版本
  • 更新套件iSherlock-maillog-5.5至137(含)以後版本
  • 更新套件iSherlock-smtp-5.5至732(含)以後版本
• 參考資料:
  • https://www.twcert.org.tw/tw/cp-132-10237-9e0f7-1.html

計算機與通訊中心
網路系統組 敬啟