概述

北京时间2019年6月14日。网络流传Coremail的配置信息泄露的poc，经过白帽汇安全研究院确认漏洞信息真实，影响部分版本。该漏洞可造成coremail的配置文件信息泄露，其中包括数据库连接的用户名密码等敏感信息。

Coremail产品诞生于1999年，经过二十多年发展，Coremail的客户众多。是目前国内拥有邮箱使用用户最多的邮件系统。Coremail今天不但为网易（126、163、yeah）、移动，联通等知名运营商提供电子邮件整体技术解决方案及企业邮局运营服务，还为石油、钢铁、电力、政府、金融、教育、尖端制造企业等用户提供邮件系统软件和反垃圾服务。

根据FOFA系统近一年统计显示，目前全球共有18511个Coremail系统对外开放（非漏洞情况）。该系统用户主要以国内为主。

Coremail系统全球分布情况（仅为分布情况，非漏洞影响情况）

中国地区中北京市数量最多，共有3750个；第二是广东省，共有2121个；第三是上海市，共有1389个；第四是山东省，共有952个；第五是浙江省，共有893个。

Coremail系统中国大陆地区分布情况（仅为分布情况，非漏洞影响情况）

漏洞原理与危害

该漏洞通过固定的url地址即可查看coremail的配置文件内容，该漏洞可造成coremail的配置文件信息泄露，其中包括数据库连接的用户名密码等敏感信息。

公开日期：2019年6月14日

漏洞类型：通用型漏洞

漏洞风险：中危风险

影响范围：Coremail部分版本

漏洞验证：Coremail地址 + /mailsms/s?func=ADMIN:appState&dumpConfig=/

[出自:jiwo.org]