Vulnerabilidad en mailcow: dockerized (CVE-2024-41960)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

05/08/2024

Última modificación:

19/09/2024

Descripción

mailcow: dockerized es un software colaborativo/paquete de correo electrónico de código abierto basado en Docker. Un usuario administrador autenticado puede inyectar un payload de JavaScript en la configuración de los hosts de retransmisión. El payload inyectado se ejecuta cada vez que se ve la página de configuración, lo que permite al atacante ejecutar scripts arbitrarios en el contexto del navegador del usuario. Esto podría conducir al robo de datos o a una mayor explotación. Este problema se solucionó en la versión "2024-07". Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.80 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno