关键漏洞信息 漏洞类型 SQL Injection 影响范围 受影响包: z-push/z-push-dev 受影响版本: <2.7.6 严重性 CVSS评分: 9.1 (Critical) 描述 概述: 受影响的z-push/z-push-dev版本由于IMAP后端中的未参数化查询,易受SQL注入攻击。攻击者可以通过操纵基本身份验证中的用户名字段注入恶意命令,从而访问和潜在地修改或删除与链接的第三方数据库相关的敏感数据。 注意: 此漏洞仅影响使用IMAP后端并配置了IMAP_FROM_SQL_QUERY选项的Z-Push安装。 修复建议 升级: 升级z-push/z-push-dev至2.7.6或更高版本。 配置更改: 在backend/imap/config.php中更改配置以使用默认或LDAP: 或 时间线 引入日期: 2025年7月10日 公开日期: 2025年7月28日 披露日期: 2025年7月10日 CVSS基础分数 攻击向量: 网络 攻击复杂度: 低 攻击要求: 存在 特权要求: 无 用户交互: 无 机密性影响: 高 完整性影响: 高 可用性影响: 高 参考资料 GitHub Commit GitHub PR 漏洞披露 易受攻击代码