Vulnerabilidad en mailcow: dockerized (CVE-2024-31204)

mailcow: dockerized es un software colaborativo/paquete de correo electrónico de código abierto basado en Docker. Se ha identificado una vulnerabilidad de seguridad en mailcow que afecta a versiones anteriores a 2024-04. Esta vulnerabilidad reside en el mecanismo de manejo de excepciones, específicamente cuando no se opera en DEV_MODE. El sistema guarda los detalles de la excepción en una matriz de sesiones sin una desinfección o codificación adecuada. Estos detalles luego se representan en HTML y se ejecutan en un bloque de JavaScript dentro del navegador del usuario, sin un escape adecuado de las entidades HTML. Esta falla permite ataques de Cross-Site Scripting (XSS), donde los atacantes pueden inyectar scripts maliciosos en el panel de administración activando excepciones con entradas controladas. El método de explotación implica el uso de cualquier función que pueda generar una excepción con un argumento controlable por el usuario. Este problema puede provocar secuestro de sesión y acciones administrativas no autorizadas, lo que supone un riesgo de seguridad importante. La versión 2024-04 contiene una solución para el problema.