关键信息 漏洞详情 CVE编号: CVE-2019-6800 漏洞描述: 发现于反垃圾邮件解决方案"SpamTitan"中的漏洞,允许网络中间人以root权限执行任意代码。 影响版本: 至少7.x到7.03版本。 漏洞发现 发现方式: 未加密下载的shell脚本触发了网络监控设备的警报,该流量是反垃圾规则更新过程的一部分。 HTTP响应 安全风险 更新过程通过未加密连接执行,没有安全措施。 利用简单的中间人技术可以注入代码,导致在SpamTitan服务器上以root权限执行任意命令。 缓解措施 更新SpamTitan到7.04版本或禁用反垃圾规则更新过程。 时间线 2019-01-23: 确认漏洞,未找到公开的安全联系方式,发送邮件至公开的信息邮件地址。 2019-01-25: 销售人员联系产品试用,帮助联系合适的人披露漏洞。 2019-02-01: 无效的缓解措施(服务器端重定向到HTTPS)。 2019-02-14: 确认有效的修复措施将在下次更新中实施。 2019-03-11: 7.04版本发布,包含修复补丁。 2019-06-02: 对外公开披露。