Vulnerabilidad en la interfaz web en CipherMail Community Gateway y Professional/Enterprise Gateway (CVE-2020-12713)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-269
Gestión de privilegios incorrecta
Fecha de publicación:
11/06/2020
Última modificación:
22/06/2020
Descripción
Se detectó un problema en CipherMail Community Gateway y Professional/Enterprise Gateway versiones 1.0.1 hasta 4.7.1-0 y CipherMail Webmail Messenger versiones 1.1.1 hasta 3.1.1-0. Los atacantes con acceso administrativo a la interfaz web presentan múltiples opciones para escalar sus privilegios a la cuenta root de Unix
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Puntuación base 2.0
9.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ciphermail:gateway:*:*:*:*:*:*:*:* | 1.0.1 (incluyendo) | 4.7.1-0 (incluyendo) |
| cpe:2.3:a:ciphermail:webmail_messenger:*:*:*:*:*:*:*:* | 1.1.1 (incluyendo) | 3.1.1-0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/158001/CipherMail-Community-Virtual-Appliance-4.6.2-Code-Execution.html
- https://www.ciphermail.com/blog/ciphermail-cve-2020-12713_2020-12714.html
- https://www.ciphermail.com/gateway.html
- https://www.ciphermail.com/news.html
- https://www.ciphermail.com/secure-webmail.html
- https://www.coresecurity.com/core-labs/advisories/ciphermail-multiple-vulnerabilities