2026-01-28 06:57:59 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本周雷神众测通报了四个高危漏洞。包括SmarterMail身份认证绕至RCE、GNUInetUtilstelnetd远程认证绕过、绿联DH2100+NAS命令执行及用友BIPSQL注入漏洞。建议受影响用户及时升级至最新版本以修复风险。 综合评分： 70 文章分类： 漏洞预警,威胁情报,网络安全,IoT安全,应用安全

cover_image

雷神众测漏洞周报2026.1.19-2026.1.25

原创

雷神众测雷神众测

雷神众测

2026年1月27日 15:50 浙江

摘要

以下内容，均摘自于互联网，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，雷神众测以及文章作者不承担任何责任。

1.SmarterMail 存在身份认证绕过漏洞

2.GNU InetUtils telnetd USER环境变量注入导致远程认证绕过漏洞

3.深圳市绿联科技股份有限公司DH2100+ NAS存在命令执行漏洞

4.用友网络科技股份有限公司用友BIP数据应用服务存在SQL注入漏洞

漏洞详情

1.SmarterMail 存在身份认证绕过漏洞

漏洞介绍：

SmarterMail是一款功能强大的企业级邮件服务器软件，适用于Windows操作系统。它提供专业的企业邮箱服务、日历协作、联系人管理及安全防护等功能，支持多种访问方式（如Webmail、移动设备及桌面客户端）。

漏洞危害：

SmarterMail存在前台权限绕过漏洞，攻击者可利用该漏洞重置管理员密码，配合后台功能可实现远程命令执行。

影响范围：

SmarterMail < Build 9511

修复方案：

及时测试并升级到最新版本或升级版本

来源:安恒信息CERT

2.GNU InetUtils telnetd USER环境变量注入导致远程认证绕过漏洞

漏洞介绍：

GNU InetUtils telnetd是一个开源的Telnet服务器守护进程，用于在类Unix系统上提供远程命令行访问服务。它遵循传统的Telnet协议，允许用户通过网络连接到服务器并执行命令。

漏洞危害：

当客户端使用telnet -a参数发送USER环境变量时，telnetd会将其直接设置到进程环境中，在调用login程序时，通过模板展开机制将USER环境变量的值直接传递给login的-f参数。

漏洞编号：

CVE-2026-24061

影响范围：

1.9.3 <= GNU InetUtils <= 2.7

修复方案：

及时测试并升级到最新版本或升级版本

来源：安恒信息CERT

3.深圳市绿联科技股份有限公司DH2100+ NAS存在命令执行漏洞

漏洞介绍：

DH2100+ NAS是一款双盘位网络附加存储设备，专为家庭和个人用户设计。

漏洞危害：

深圳市绿联科技股份有限公司DH2100+ NAS存在命令执行漏洞，攻击者可利用漏洞远程执行命令。

影响范围：

深圳市绿联科技股份有限公司 DH2100+ NAS V4.2.0

修复方案：

及时测试并升级到最新版本或升级版本

来源：CNVD

4.用友网络科技股份有限公司用友BIP数据应用服务存在SQL注入漏洞

漏洞介绍：

用友网络科技股份有限公司是亚太本土管理软件、ERP软件、集团管理软件、人力资源管理软件、客户关系管理软件、小型企业管理软件、财政及行政事业单位管理软件、汽车行业管理软件、烟草行业管理软件、内部审计软件及服务提供商，也是中国领先的企业云服务、医疗卫生信息化、管理咨询及管理信息化人才提供商。

漏洞危害：

用友网络科技股份有限公司用友BIP数据应用服务存在SQL注入漏洞，攻击者可利用漏洞获取数据库敏感信息。

影响范围：

用友网络科技股份有限公司用友BIP数据应用服务

修复方案：

及时测试并升级到最新版本或升级版本

来源：CNVD

专注渗透测试技术

全球最新网络攻击技术

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：雷神众测雷神众测雷神众测《雷神众测漏洞周报2026.1.19-2026.1.25》