Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Tuta (CVE-2024-23330)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-918 Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
23/01/2024
Última modificación:
01/02/2024

Descripción

Tuta es un servicio de correo electrónico cifrado. En versiones anteriores a la 119.10, un atacante puede adjuntar una imagen en un correo html que se carga desde un recurso externo en la configuración predeterminada, lo que debería impedir la carga de recursos externos. Al mostrar correos electrónicos con contenido externo, deben cargarse de forma predeterminada solo después de la confirmación por parte del usuario. Sin embargo, se podría reconocer que ciertas imágenes incrustadas (ver PoC) están cargadas, aunque la función "Recarga automática de imágenes" esté deshabilitada de forma predeterminada. La recarga también se realiza sin cifrar a través de HTTP y se siguen las redirecciones. Este comportamiento es inesperado para el usuario, ya que el usuario asume que el contenido externo solo se cargará después de una confirmación manual explícita. La carga de contenido externo en los correos electrónicos representa un riesgo, porque esto hace que el remitente sepa qué dirección de correo electrónico se utiliza, cuándo se leyó el correo electrónico, qué dispositivo se utiliza y expone la dirección IP del usuario. La versión 119.10 contiene un parche para este problema.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:tuta:tutanota:*:*:*:*:*:node.js:*:* 119.10 (excluyendo)


Referencias a soluciones, herramientas e información