文章总结： HCLTraveler存在CVE-2026-21783信息泄露漏洞，因错误消息暴露内部路径与凭据等敏感信息。受影响版本为14.5.1.0之前，危害评级中危。建议立即升级至最新版本，或临时关闭详细错误输出并加强访问控制以缓解风险。 综合评分： 85 文章分类： 漏洞预警,应急响应,漏洞分析

【漏洞通告】HCL Traveler存在信息泄露漏洞（CVE-2026-21783）

原创

安迈信科 安迈信科

安迈信科应急响应中心

2026年3月26日 21:39 陕西

01 漏洞概况 HCL Traveler 受敏感信息泄露影响。该应用程序会生成一些错误消息，这些消息提供了有关错误和故障的详细信息，例如内部路径、文件名、敏感令牌、凭据、错误代码或堆栈跟踪。攻击者可能利用这些信息来洞察系统架构，并可能发起针对性攻击。 02 漏洞处置 综合处置优先级：高 | | | | | — | — | — | | 漏洞信息 | 漏洞名称 | HCL Traveler存在信息泄露漏洞 | | 漏洞编号 | CVE编号 | CVE-2026-21783‍ | | 漏洞评估 | 披露时间 | 2026-03-24 | | 漏洞类型 | 敏感信息披露 | | 危害评级 | 中危 | | 公开程度 | POC未公开 | | 威胁类型 | 信息泄露 | | 利用情报 | 在野利用 | 无 | | 影响产品 | 产品名称 | HCL Traveler（HCL 的企业级移动邮件与协作平台） | | 受影响版本 | HCL Traveler 14.5.1.0 之前的所有版本（versions prior to 14.5.1.0） | | 影响范围 | 影响 HCL Traveler 的错误处理机制 | | 有无修复补丁 | 有。HCL 已发布修复版本 |

03 漏洞排查 * 检查当前运行的 HCL Traveler 版本（通过管理界面、日志或命令行查询）。 * 主动触发可能出错的场景（如无效请求），观察返回的错误消息是否包含内部路径、文件名、tokens、凭证或 stack traces 等敏感信息。 * 审查服务器日志和响应头，确认是否启用了详细调试/错误输出模式。 * 使用漏洞扫描工具（如 Nessus/Tenable）针对 CVE-2026-21783 进行检测。 04 修复方案 * 推荐 ：立即升级到 HCL Traveler 14.5.1.0 或更高版本（参考 HCL 官方 KB 文章 KB0129139）。 * 临时缓解 ：在生产环境中配置服务器关闭详细错误输出（禁用 stack trace、debug 信息），将错误消息替换为通用提示。同时加强访问控制，限制低权限用户触发错误场景。 * 升级后验证错误消息是否已脱敏，并监控相关日志。 05 时间线 * 2026 年 3 月 24 日：CVE 分配并公开，HCL 发布安全公告和修复版本。 * 2026 年 3 月 25 日：多家平台（如 Tenable、VulDB、OffSec Radar）更新详情。 * 2026 年 3 月 26 日：安迈信科运营团队发布通告。 关于安迈信科 西安安迈信科科技有限公司以“数字化可管理”为核心理念，坚持DevOps自主研发，创新打造“能力聚合、流程闭环、持续赋能”的综合性网络数据安全平台与运营服务。公司从古城西安出发，已在全国范围内为政府、运营商、电力、能源等行业客户提供了高质量的安全保障，并将继续为我国数字化转型和发展贡献力量。 知 行 . 至 简 . 致 诚

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安迈信科应急响应中心 安迈信科 安迈信科《【漏洞通告】HCL Traveler存在信息泄露漏洞（CVE-2026-21783）》