群暉(Synology)近日发布安全公告,针对其DSM平台中的邮件服务器套件MailPlus Server推出紧急修补。公告指出,若用户仍停留在旧版本,可能面临未授权文件访问、内部服务暴露乃至拒绝服务等风险,攻击者甚至可能利用漏洞进行读写操作或让服务瘫痪。受影响的范围涵盖启用了MailPlus Server套件,并使用DSM 7.2.1、7.2.2与7.3的用户。
本次一共修补三项相关漏洞,其中严重等级最高的CVE-2026-13136,CVSS评分高达10分。问题根源在于授权验证机制存在缺陷,攻击者有机会在远端发起恶意请求,从而读取或写入系统中的任意文件,并进一步发动拒绝服务攻击,造成邮件服务不可用或异常。
第二项为CVE-2025-15660,CVSS评分9.6分。该漏洞与加密使用的伪随机数生成器强度不足有关,可能被用来辅助攻击者进行文件读取/写入,或导致服务中断。虽然成因不同,但最终效果同样指向“可被滥用”和“可能直接影响业务运行”。
群暉在公告中明确建议尽快升级至已修补版本,例如4.0.1-21663、4.0.1-31663等。对于企业来说,邮件系统往往与办公流程高度耦合,一旦出现远程访问或服务被卡死,后果可能从数据泄露一路扩散到业务中断。因此,修补不只是安全事项,更是保障连续性的底线动作。
更值得警惕的是,安全厂商Bitsight的扫描结果显示,全球仍有超过2,100台部署MailPlus Server的系统直接暴露在互联网上。按地区统计,韩国与德国的数量最多,分别约760台与741台;台湾也有502台,位居靠前位置。也就是说,潜在受攻击面并未随着时间推移而显著缩小,越早更新越能把风险压下去。
总之,这次是实打实的高危更新:只要启用了MailPlus Server且未完成升级,就应立刻检查当前版本并进行修补,降低远程未授权访问与拒绝服务带来的双重威胁。
