佳能日本营销部透露GUARDIANWALL MailSuite 中存在一个严重漏洞,远程攻击者可以利用该漏洞在受影响的系统上执行任意代码。
该缺陷编号为 CVE-2026-32661 和 JVN#35567473,影响 GUARDIANWALL MailSuite 本地版本 1.4.00 至 2.4.26。 JPCERT/CC 表示,已经在本地部署中观察到利用该漏洞的攻击。
当系统以 grdnwww 用户权限运行 pop3wallpasswd 命令时,该问题会影响产品的 Web 服务。管理员应立即应用佳能的补丁或限制管理界面,直到完成修复。
该漏洞来自于pop3wallpasswd命令里面基于堆栈的缓冲区溢出GUARDIANWALL 邮件套件。当软件向内存写入的数据多于分配的空间可以安全容纳的数据时,就会发生缓冲区溢出。
攻击者可以向受影响产品的 Web 服务发送特制请求。如果系统使用存在漏洞的配置,该请求可能会触发内存损坏并允许任意代码执行。
JVN 将这一缺陷评为严重,CVSS v3.0 得分为 9.8。该通报还列出了 CVSS v4.0 分数为 9.3,该问题仍然处于临界范围内。
| 物品 | 细节 |
|---|---|
| 漏洞ID | CVE-2026-32661,JVN#35567473 |
| 产品 | GUARDIANWALL 邮件套件 |
| 小贩 | 佳能营销日本公司 |
| 漏洞类型 | 基于堆栈的缓冲区溢出 |
| 受影响的命令 | pop3wallpasswd |
| 影响 | 远程任意代码执行 |
| 严重性 | 批判的 |
受影响的 Canon GUARDIANWALL 版本
受影响的本地版本包括 GUARDIANWALL MailSuite 版本。 1.4.00 至版本2.4.26.佳能表示 1.4.00 之前的版本不会遇到此特定问题。
旧版 GUARDIANWALL 版本 7.x 和 8.x 也不属于此通报范围。但是,管理员仍应检查其支持状态并查看其他特定于产品的安全指南。
SaaS版本的GUARDIANWALL Mail Security Cloud在佳能2026年4月30日维护之前也曾曝光。佳能表示,云服务在维护时段内得到了修复。
| 产品或版本 | 地位 |
|---|---|
| GUARDIANWALL MailSuite 版本。 1.4.00 至版本2.4.26 | 做作的 |
| GUARDIANWALL MailSuite 早于版本。 1.4.00 | 不受此缺陷影响 |
| 旧版 GUARDIANWALL 版本。 7.x 和 8.x | 不受此缺陷影响 |
| GUARDIANWALL Mail Security Cloud 2026 年 4 月 30 日之前维护 | 先前受影响 |
| 2026 年 4 月 30 日维护后的 GUARDIANWALL Mail Security Cloud | 固定的 |
为什么 CVE-2026-32661 很危险
电子邮件安全网关靠近敏感的企业通信。该层中的远程代码执行缺陷可能会给暴露管理服务或运行易受攻击的配置的组织带来严重风险。
JPCERT/CC 表示攻击者可以利用通过向产品的 Web 服务发送精心设计的请求来修复未经身份验证的漏洞。这使得任何暴露的部署都迫切需要修补。
由于已经在野外观察到针对 GUARDIANWALL MailSuite 本地系统的利用,因此风险变得更高。安全团队应将受影响的环境视为高优先级资产,并调查可能的危害。
攻击者如何利用该漏洞
当产品可以使用 grdnwww 用户权限运行 pop3wallpasswd 时,就会存在易受攻击的情况。在该设置中,对 Web 服务的恶意请求可能会触发缓冲区溢出。
成功利用该漏洞可以让攻击者在受影响的服务上下文中执行代码。从那里,攻击者可能会尝试进一步的移动、数据访问或持久性,具体取决于服务器的暴露和内部控制。
佳能表示,如果受影响产品的管理界面不面向外部网络,攻击者就无法远程利用该漏洞。该公司还表示,当无法立即修补时,基于 IP 的访问限制可以降低风险。
- 检查 GUARDIANWALL MailSuite 是否运行受影响的版本。
- 检查管理接口是否面向外部网络。
- 尽可能限制对受信任 IP 地址的访问。
- 保留日志以便在服务暴露时进行调查。
- 尽快应用佳能的修复补丁。
管理员的补丁和缓解步骤
佳能已提供修复补丁以及通过支持渠道向签约用户提供的说明。管理员应按照供应商的说明完成补丁部署,然后再恢复正常的管理访问权限。
如果团队无法立即应用补丁,Canon 建议停止 WGW 工作服务器上的 GUARDIANWALL MailSuite 管理屏幕。此解决方法可以减少暴露,但也会扰乱管理操作。
Canon 列出了以下命令来停止 WGW 工作服务器上的管理进程:
/etc/init.d/grdn-wgw-work stop
管理员应用官方补丁并完成检查后,可以使用以下命令重新启动管理进程:
/etc/init.d/grdn-wgw-work start
建议安全团队采取的应对措施
使用受影响的 GUARDIANWALL MailSuite 版本的组织不应将此视为例行更新。公共咨询确认了积极的利用,因此管理员应将修补与调查结合起来。
团队应首先识别所有受影响的服务器,确认暴露情况并收集相关日志,然后再进行可能删除有用证据的更改。然后,他们应该修补、限制管理访问并检查身份验证和网络日志是否存在可疑活动。
如果安全团队需要帮助确认其环境是否存在易受攻击的配置,还应联系佳能的产品支持台。
- 识别所有 GUARDIANWALL MailSuite 部署。
- 检查版本号并确认是否在1.4.00和2.4.26之间。
- 判断管理接口是否对外暴露。
- 从官方支持渠道应用佳能的修复补丁。
- 如果无法立即进行修补,请使用临时解决方法。
- 尽可能通过 IP 地址限制管理访问。
- 保存和审查 Web 服务、系统和访问日志。
- 查找未经授权的代码执行或异常进程活动的迹象。
- 请联系佳能支持以确认影响和补丁状态。
FAQ
Canon GUARDIANWALL MailSuite 中的 CVE-2026-32661 是什么?
CVE-2026-32661 是 GUARDIANWALL MailSuite 中一个严重的基于堆栈的缓冲区溢出漏洞。它可以允许远程攻击者通过向产品的 Web 服务发出特制请求来执行任意代码。
哪些 GUARDIANWALL MailSuite 版本受到影响?
GUARDIANWALL MailSuite 版本。 1.4.00 至版本2.4.26 受到影响。 1.4.00 之前的版本和旧版 GUARDIANWALL Ver. 7.x 和 8.x 不受此特定缺陷的影响。
Canon 是否修复了 GUARDIANWALL Mail Security Cloud 版本?
是的。佳能表示,SaaS 版本的 GUARDIANWALL Mail Security Cloud 在 2026 年 4 月 30 日进行的维护期间收到了修复。
对于 Canon MailSuite 漏洞,管理员应该采取什么措施?
管理员应应用佳能的修复补丁,限制对管理界面的访问,保留日志,调查妥协情况,并在无法立即修补时使用佳能的临时解决方法。