关键信息 漏洞详情 CVE编号: CVE-2024-45438 产品: SpamTitan Email Security Gateway 影响版本: 8.00.101 和 8.01.14 发现日期: 2024年5月 严重性: 高 CWE: CWE-306: Missing Authentication for Critical Function 漏洞描述 文件: quarantine.php 问题: 该文件允许通过HTTP GET请求创建用户,无需身份验证。 具体行为: 当提供不存在的电子邮件地址作为 参数的一部分时,SpamTitan会自动创建一个用户账户,而不需要任何身份验证。 技术细节 受影响端点: 未认证请求触发用户创建: 伪代码逻辑: 影响 未经身份验证创建内部用户记录 操纵quarantine报告设置以任意电子邮件为基础 潜在的拒绝服务或持久性利用 厂商响应 修复: 已在以下版本中修复: - SpamTitan Gateway v.8.00.14 - SpamTitan Gateway v.8.01.14 时间线 2024-05-12: 在渗透测试期间发现漏洞 2024-05-28: 发布咨询(我们忘记了这个漏洞) 2024-06-06: 收到Seraiys的跟进 2024-06-10: TitanHQ确认收到并启动协调 2024-06-20: 公开披露