Vulnerabilidad en mailcow: dockerized (CVE-2024-41959)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

05/08/2024

Última modificación:

19/09/2024

Descripción

mailcow: dockerized es un software colaborativo/paquete de correo electrónico de código abierto basado en Docker. Un atacante no autenticado puede inyectar un payload de JavaScript en los registros de API. Este payload se ejecuta cada vez que se ve la página de registros de API, lo que potencialmente permite que un atacante ejecute scripts maliciosos en el contexto del navegador del usuario. Esto podría dar lugar a acciones no autorizadas, robo de datos o una mayor explotación del sistema afectado. Este problema se solucionó en la versión "2024-07". Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno