关键信息 漏洞概述 标题: 未授权的用户创建 产品: SpamTitan Email Security Gateway 影响版本: v8.00.95 和 v8.01.14 确认日期: 2023年8月8日 厂商: TitanHQ 发现日期: 2023年5月26日 严重性: 高 CVE编号: CWE-306: 缺少对关键功能的身份验证 CVSS评分: 8.6 (AV:N/AC:L/PR:N/UI:S/S:U/C:N/I:H/A:H) 发现者: Philippe Caturegli (Seralys) & Julian B. 技术细节 受影响的端点: 未认证请求触发用户创建: 伪代码逻辑: 影响 未认证创建内部用户记录 操纵任意电子邮件的隔离报告设置 可能导致服务拒绝或通过垃圾邮件报告劫持进行持久化攻击 扩大应用程序攻击面以进一步利用 厂商响应 TitanHQ 在协调披露努力中实施了修复。 问题已在以下版本中解决: - SpamTitan Gateway v8.00.101 - SpamTitan Gateway v8.01.14 时间线 2023年5月12日: 漏洞在渗透测试期间发现 2023年5月20日: 初始建议提交给TitanHQ 2023年5月27日: TitanHQ确认收到并启动协调 2023年8月8日: TitanHQ公开发布修复版v8.00.101和v8.01.14 2023年8月20日: Seralys公开披露