关键信息 漏洞概述 CVE编号: CVE-2025-52372 描述: hMailServer v5.8.6版本中存在一个漏洞,允许本地攻击者通过 和 组件获取敏感信息。 漏洞类型: 其他(CVE-328: 使用弱哈希) 影响范围 产品供应商: hMailServer 受影响的产品代码库: hMailServer - 5.8.6, 5.6.9-beta 受影响的组件: , 攻击类型: 本地 攻击向量 信息泄露: 真 攻击方式: 攻击者只需获取管理员密码字符串,并使用任何破解MD5哈希的工具进行破解。 参考链接 hMailServer Exploit Generic Exploit Blog Post Application 发现者 发现者: Eli Samara 详细解释 默认设置: 程序安装时,默认使用MD5哈希对 进行加密,并存储在 文件的 部分。 代码示例: 测试安装: 在测试安装过程中,密码被传递给 。 INI文件写入: 密码最终被写入到 文件中。 后续更新: 后续对密码的更新将使用更安全的哈希算法。 初始设置问题 初始设置: 初始设置时使用的哈希仍然是不安全的。