近日，CNVD用户组单位——盈世信息科技（北京）有限公司（简称“盈世公司”）向CNVD秘书处报备了其近期获知的Coremail系统漏洞安全风险情况，主要涉及登陆信息未安全传输风险、邮件表单项XSS跨站脚本风险、cookies欺骗安全风险。根据CNVD评估认定，其中两个风险认定为软件漏洞，分别为：Coremail 表单项img标签跨站脚本漏洞（CNVD-2013-08027，评级：中危），Coremail邮件系统服务器端存在身份验证漏洞（CNVD-2016-10575，评级：中危）。综合利用两个中危漏洞，攻击者有可能获得其他同域邮件用户的登陆权限。
    针对上述漏洞以及信息未加密传输风险，盈世公司发布了对应的解决方案。根据CNVD用户组单位“主动响应”原则，按照CNVD漏洞安全响应指导规范，盈世公司通过已有售后渠道主动向涉及党政机关和重要行业单位的相关用户通报漏洞风险并协助完成漏洞修复工作。另外，盈世公司建议旧版本用户可升级到Coremail XT5.0版本，Coremail新版本XT5.0已修复。相关问题，可联系盈世公司安全中心：http://www.coremail.cn/zxdt/info_66.aspx?itemid=1921。

文章来源:

国家互联网应急中心