随着 Web 技术的快速演变，近来黑客开始把关注重点转向 Web 应用系统，2013年上半年 Web 应用系统漏洞数量目前占新增漏洞的第二位，Web 应用系统的安全风险达到前所未有的高度。目前，针对院校的专有系统（如电子邮件系统、教务系统登录）的漏洞呈现增长趋势，这些专有系统在开发之初没有考虑安全因素导致存在安全漏洞，而造成用户信息泄露等事件。本刊收集了相关漏洞的详情供各学校参考并警惕以下漏洞，以防信息丢失而造成相应的损失。

　　1.快客电邮 (quick mail) 远程代码执行漏洞

　　漏洞类型：命令执行

　　危害等级：高

　　快客邮件系统(QuarkMail)存在的一个远程代码执行漏洞（CNVD 编号：CNVD-2013-21254）。攻击者利用漏洞可发起远程攻击，通过执行特定指令逐步渗透控制邮件服务器主机。互联网上已经出现了攻击利用代码，对相关服务器构成信息泄露和运行安全威胁。

　　根据 CNVD 测试结果，相关版本的快客电邮产品采用了CGI 脚本，存在一处远程代码执行漏洞。攻击者可利用漏洞直接发起恶意 URL 请求，远程执行操作系统指令。通过当前邮件服务器运行用户已有权限，攻击者可逐步渗透并控制邮件服务器主机操作系统。

　　CNVD 对该漏洞的综合评级为“高危”，该产品广泛应用于我国政府和重要信息系统部门以及军队、电信、新闻、教育机构和科研院所等多个领域。目前，CNVD 通过测试结果还未能确认受影响的产品具体版本号。

　　目前，互联网上已经披露了攻击利用代码，CNVD 尚未获知厂商对该漏洞的响应情况。CNVD 建议相关用户直接联系厂商，要求提供解决方案。