Libraesva ESG 命令注入漏洞（CVE-2025-59689）深度分析报告【红客联盟 AI 分析】

一、漏洞核心概况：电子邮件安全网关的高危隐患

二、漏洞关键信息与风险参数

三、攻击利用路径：低交互下的邮件附件投毒

1. 制作特制压缩附件：将含恶意命令的文件（如伪装成 “文档模板” 的脚本）打包为特定格式压缩包（如 ZIP），通过参数构造绕过网关的消毒机制；
2. 发送钓鱼邮件：将压缩附件作为邮件附件发送至目标组织邮箱，邮件主题可伪装为 “工作文档”“客户资料” 等常规内容，确保邮件能正常到达网关；
3. 触发漏洞执行命令：Libraesva ESG 网关接收到邮件后，自动解压并扫描附件，因消毒逻辑缺陷，恶意参数被解析为合法命令，在网关设备上以非特权用户身份执行（如获取网关配置、窃取邮件日志等）。

四、官方修复与缓解措施：快速响应与分级防护

（一）补丁发布与自动更新

• 5.x 版本用户：官方发布紧急补丁（具体版本包括 ESG 5.0.31、5.1.20、5.2.31、5.3.16、5.4.8、5.5.7），通过平台自动更新渠道推送，云部署用户无需手动操作，本地部署用户通过遥测确认自动完成升级；
• 4.x 版本用户：因 4.x 已终止支持，无单独补丁，需手动升级至 5.x 版本才能获得漏洞防护，否则将持续暴露在风险中。

（二）补丁附加功能：残留威胁检测

1. 入侵指标（IoCs）扫描：自动检测设备是否存在漏洞利用残留（如异常命令执行记录、恶意文件痕迹）；
2. 自我评估模块：允许管理员验证补丁安装完整性，确认设备已彻底防护漏洞，避免 “假修复” 风险。

五、漏洞警示与行业建议

（一）核心警示

（二）组织防御建议

1. 紧急核查版本：立即确认 Libraesva ESG 版本，4.x 版本需优先手动升级至 5.x，5.x 版本确保已自动安装对应补丁；
2. 监控异常行为：检查 ESG 网关的命令执行日志，排查是否存在非授权 shell 命令（如 “curl”“wget” 等异常下载命令）；
3. 强化附件过滤：临时补充防护规则，对含压缩附件的陌生发件人邮件进行二次审核，避免漏洞利用邮件触发网关处理；
4. 终止旧版本使用：坚决淘汰已终止支持的 4.x 版本，避免因 “无补丁防护” 成为攻击突破口。