一、漏洞詳情

James (Java Apache Mail Enterprise Server)是由Java語(yǔ)言編寫(xiě)的，整合了諸如POP3，SMTP等郵件協(xié)議的開(kāi)源企業(yè)郵件服務(wù)器。

Apache發(fā)布安全公告，修復(fù)了Apache James Server中的一個(gè)信息泄露漏洞（CVE-2022-45935）。Apache James Server 3.7.2及之前版本中，由于使用具有不安全權(quán)限的臨時(shí)文件，可能導(dǎo)致具有本地訪(fǎng)問(wèn)權(quán)限的惡意用戶(hù)訪(fǎng)問(wèn)傳輸中的私人用戶(hù)數(shù)據(jù)，造成敏感信息泄露。

建議受影響用戶(hù)做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

二、影響范圍

Apache James Server 版本 <= 3.7.2

注：易受攻擊的組件包括SMTP堆棧和IMAP APPEND命令。

三、修復(fù)建議

目前該漏洞已經(jīng)修復(fù)，受影響用戶(hù)可及時(shí)升級(jí)到Apache James Server 版本3.7.3。

下載鏈接：https://james.apache.org/download.cgi