一、漏洞詳情

James (Java Apache Mail Enterprise Server)是由Java語(yǔ)言編寫(xiě)的，整合了諸如POP3，SMTP等郵件協(xié)議的開(kāi)源企業(yè)郵件服務(wù)器，它是Apache組織的一個(gè)子項(xiàng)目。

Apache發(fā)布安全公告，修復(fù)了James中的一個(gè)命令注入漏洞（CVE-2022-28220）。3.6.3和3.7.1版本之前的Apache James容易受到依賴(lài)于使用STARTTLS命令的緩沖攻擊，這可能會(huì)導(dǎo)致中間人命令注入攻擊，從而導(dǎo)致用戶(hù)憑據(jù)等敏感信息泄露。

建議受影響用戶(hù)做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

二、影響范圍

Apache James版本 < 3.7.1

Apache James版本 < 3.6.3

三、修復(fù)建議

目前此漏洞已經(jīng)修復(fù)，受影響用戶(hù)可升級(jí)到Apache James 3.6.3、3.7.1或更高版本。

下載鏈接：https://james.apache.org/download.cgi