Múltiples vulnerabilidades en el producto de IceWarp
Las siguientes versiones de IceWarp están afectadas:
- Update 2, build 8 (14.2.0.8).
- Update 2, build 9 (14.2.0.9).
Oscar Bataille y Nicolas Chatelain han reportado sobre 2 vulnerabilidades; 1 de severidad crítica y otra alta. En caso de ser exitosamente explotadas, estas vulnerabilidades permitirían a un atacante y eludir la autenticación en los productos afectados.
Se recomienda actualizar a la última versión estable del producto para corregir estas vulnerabilidades.
CVE-2025-14499: falta de validación apropiada de una cadena suministrada por el usuario antes de utilizarla para ejecutar una llamada al sistema. Un atacante remoto tendría la posibilidad de eludir la autenticación en las instalaciones afectadas de IceWarp, ya que el objetivo principal es engañar al usuario para que visite una página web o un archivo malicioso.
CVE-2025-14500: ausencia de una correcta validación de los datos que el usuario proporciona en el manejo de un parámetro a la página web de gmaps, puede ocasionar la inyección de un script arbitrario. Esta vulnerabilidad puede ser explotada por un atacante para evadir la autenticación en el sistema.
