Vulnerabilidad en Axigen Mail Server (CVE-2025-68723)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
05/02/2026
Última modificación:
13/02/2026
Descripción
Axigen Mail Server anterior a 10.5.57 contiene múltiples vulnerabilidades de cross-site scripting (XSS) almacenado en la interfaz WebAdmin. Existen tres instancias: (1) el parámetro del nombre del archivo de registro en la página de registro de servicios locales (Local Services Log), (2) el contenido del archivo de certificado en la función de visualización de uso de certificados SSL (SSL Certificates View Usage), y (3) el parámetro del nombre del archivo de certificado en la configuración SSL de los oyentes de WebMail (WebMail Listeners). Los atacantes pueden inyectar cargas útiles de JavaScript maliciosas que se ejecutan en los navegadores de los administradores cuando acceden a las páginas o funciones afectadas, lo que permite ataques de escalada de privilegios donde los administradores con pocos privilegios pueden obligar a los administradores con muchos privilegios a realizar acciones no autorizadas.
Impacto
Puntuación base 3.x
9.00
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:axigen:axigen_mail_server:*:*:*:*:*:*:*:* | 10.3.0 (incluyendo) | 10.5.57 (excluyendo) |
| cpe:2.3:a:axigen:axigen_mail_server:*:*:*:*:*:*:*:* | 10.6.0 (incluyendo) | 10.6.26 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página