SOGo Webmail 不安全的直接对象引用漏洞

漏洞信息

漏洞名称： SOGo Webmail 不安全的直接对象引用漏洞

漏洞编号：

CVE： CVE-2025-50340

漏洞类型： 未授权访问

漏洞等级： 中危

漏洞描述： SOGo Webmail是一款开源的协作软件，提供电子邮件、日历、联系人管理等服务，广泛应用于企业级环境中。该软件支持多用户协作，是许多组织内部通信的重要组成部分。此次发现的漏洞属于不安全的直接对象引用（IDOR）类型，允许攻击者利用该漏洞以其他用户的身份发送电子邮件。漏洞的根本原因在于系统未能正确验证用户对特定对象的访问权限，导致攻击者可以绕过正常的权限检查机制。这种漏洞的存在可能导致信息泄露、权限提升等安全问题，尤其是在企业内部通信中，可能会被用来进行钓鱼攻击或其他形式的社交工程攻击。虽然利用此漏洞需要一定的用户交互，但其潜在的影响范围广泛，特别是对于依赖SOGo Webmail进行日常通信的组织而言，应当尽快采取修补措施以防止潜在的安全风险。

产品厂商： SOGo

产品名称： SOGo Webmail

来源： https://github.com/millad7/SOGo_web_mail-vulnerability-CVE-2025-50340

类型： CVE-2025:github search