漏洞总结:Customer Edit Cross-Mailbox Email Takeover 漏洞概述 漏洞名称:Customer Edit Cross-Mailbox Email Takeover 严重程度:High (7.6 / 10) CVSS v3 基本指标: - 攻击向量:Network - 攻击复杂度:Low - 所需权限:Low - 用户交互:None - 范围:Unchanged - 机密性:Low - 完整性:High - 可用性:Low CVE ID:CVE-2024-40589 描述:低权限代理可以编辑可见客户并添加另一个邮箱中隐藏客户已拥有的电子邮件地址。服务器在成功闪存中披露隐藏客户的姓名和配置文件 URL,将隐藏客户的电子邮件重新分配给可见客户,并将该电子邮件的隐藏邮箱对话重新绑定到可见客户。 影响范围 受影响版本:<1.8.214 修复版本:1.8.214 前置条件: - - 经过身份验证的非管理员用户 - 多邮箱部署,攻击者有权访问 Mailbox A 但没有 Mailbox B - 隐藏客户存在于 Mailbox B - 攻击者可以编辑可见客户并知道隐藏客户的电子邮件 修复方案 修复版本:升级到 1.8.214 或更高版本 POC 代码