关键漏洞信息 漏洞详情 漏洞类型: 文件权限不安全 CVE-ID: CVE-2018-5693 披露时间: 2018-01-12 漏洞实验室ID (VL-ID): 2113 通用漏洞评分系统 (CVSS): 2.8 影响产品 产品: MagicSpam 2.0.13-1 Plesk 扩展 利用方式 利用技术: 远程 攻击复杂度: 预认证(无需特权或会话) 用户交互: 无需用户互动 严重等级: 低 技术细节和描述 漏洞描述: MagicSpam 2.0.13-1 Plesk 扩展中存在文件权限不安全漏洞。这一漏洞允许攻击者在无需权限或认证的情况下访问敏感信息,如电子邮件。 日志存储路径: "/var/log/magicspam/" 文件示例: mslog 文件可被所有人读取,并每天轮换存储完整的服务器邮箱列表(前提是邮箱在过去至少接收或发送了一封邮件)。 风险等级: 低。通用漏洞评分系统评分为 2.8。 漏洞利用: 远程攻击者无需用户账户或交互即可利用此漏洞。 漏洞证明 (PoC) 解决方案与补丁 修复方案: 排除受影响应用日志文件中的电子邮件以解决安全漏洞。另一种解决方案是为MagicSpam Web应用程序日志文件集成认证机制。