信息來源：hackernews

        外媒 2 月 25 日消息，Core Security 發(fā)現趨勢科技基于 Linux 的電子郵件加密網關的 Web 控制臺中存在多個安全漏洞（ CVE-2018-6219 ~ CVE-2018-6230），其中一些被評為嚴重等級的漏洞能夠允許未經身份驗證的遠程攻擊者以root權限執(zhí)行任意命令。目前受影響的軟件包是趨勢科技電子郵件加密網關 5.5 （Build 1111.00）及更早版本。

        在這些漏洞中，最嚴重的是 CVE-2018-6223，可能會被本地或遠程攻擊者利用來獲得目標設備的 root 權限，以便于執(zhí)行任意命令。目前來說，該漏洞與設備注冊時缺少身份驗證有關。

具體細節(jié)為：管理員在部署過程中需要通過注冊端點配置運行電子郵件加密網關的虛擬設備， 于是攻擊者可以利用該漏洞在沒有身份驗證的情況下訪問端點，以設置管理員憑據并對配置進行其他更改，比如管理員用戶名和密碼等。

        據悉，Core Security 還發(fā)現了兩個嚴重的跨站腳本攻擊（XSS）漏洞，一個可導致命令執(zhí)行的任意文件寫入問題，另一個則導致命令執(zhí)行的任意日志文件位置以及未驗證的軟件更新。除此之外，趨勢科技的電子郵件加密網關也包括了 SQL 和 XML 外部實體（XXE）注入等漏洞。

        目前趨勢科技確認，由于實施修復程序的困難，中等嚴重性 CSRF 問題和低嚴重性 SQL 注入漏洞尚未得到修補。