內容說明

研究人員發現桓基科技iSherlock存在作業系統指令注入(OS Command Injection)漏洞(CVE-2025-11900)，未經身分鑑別之遠端攻擊者可注入任意作業系統指令並於伺服器上執行，請儘速確認並進行修補。

 

影響平台

影響產品：
iSherlock 4.5與iSherlock 5.5(包含MailSherlock、SpamSherlock、AuditSherlock)

影響套件：
iSherlock-smtp-4.5:774(不含)以前版本
iSherlock-smtp-5.5:774(不含)以前版本
iSherlock-base-4.5:440(不含)以前版本
iSherlock-base-5.5:440(不含)以前版本

 

處置建議

 
更新iSherlock-smtp-4.5套件至774(含)以後版本
更新iSherlock-smtp-5.5套件至774(含)以後版本
更新iSherlock-base-4.5套件至440(含)以後版本
更新iSherlock-base-5.5套件至440(含)以後版本

 

參考資料

1. https://nvd.nist.gov/vuln/detail/CVE-2025-11900 
2. https://www.twcert.org.tw/tw/cp-132-10440-dd55d-1.html