关键信息 漏洞编号 CVE-2025-52374 漏洞描述 使用硬编码的加密密钥在 中,允许攻击者解密密码以访问其他服务器。 漏洞类型 CWE-321: 使用硬编码的加密密钥 产品供应商 hMailServer 受影响的产品版本 hMailServer - 5.8.6, 5.6.9-beta 受影响组件 , 攻击类型 本地 影响 信息泄露:TRUE 攻击向量 攻击者可以使用从硬编码的盐和密码派生的加密密钥和IV来解密具有相同C#函数作为源代码的密码。 参考链接 hMailServer Exploit: GitHub Generic Exploit: GitHub Blog Post: mojibake.dev Application: hMailServer GitHub 发现者 Eli Samara 详细解释 密码在创建新服务器连接时被加密。 硬编码的密钥用于加密和解密。 解密函数可以从 标签中解密字符串。