关键信息 漏洞编号: CVE-2025-52373 描述: 使用硬编码的加密密钥在BlowFish.cpp中,允许攻击者解密数据库连接字符串中使用的密码。 漏洞类型: 硬编码加密密钥 (CVE-321) 厂商: hMailServer 受影响的产品版本: hMailServer - 5.8.6, 5.6.9-beta 受影响的组件: hMailServer/source/Server/Common/Util/BlowFish.cpp, hMailServer.ini 攻击类型: 本地 影响信息披露: true 攻击向量: 攻击者可以简单地调整源代码中的现有函数来解密SQL服务器连接字符串中使用的密码。 参考链接 hMailServer Exploit Generic Exploit Blog Post Application 发现者 Eli Samara 详细解释 硬编码的密码设置在 的第20行和第29行。 使用硬编码的密钥 来加密数据库密码。 提供了Python脚本用于解密硬编码的密码。