Vulnerabilidad en Stalwart (CVE-2025-59045)

Stalwart es un servidor de correo y colaboración. A partir de la versión 0.12.0 y anterior a la versión 0.13.3, existe una vulnerabilidad de agotamiento de memoria en la implementación CalDAV de Stalwart que permite a atacantes autenticados causar denegación de servicio al desencadenar un consumo de memoria ilimitado mediante la expansión de eventos recurrentes. Un atacante autenticado puede bloquear el servidor Stalwart creando eventos recurrentes con grandes cargas útiles y desencadenando su expansión a través de solicitudes CalDAV REPORT. Una única solicitud maliciosa que expanda 300 eventos con descripciones de 1000 caracteres puede consumir hasta 2 GB de memoria. La vulnerabilidad existe en la función 'ArchivedCalendarEventData.expand', que procesa las solicitudes CalDAV 'REPORT' con expansión de eventos. Cuando un cliente solicita eventos recurrentes en su forma expandida utilizando el elemento 'C:expand', el servidor almacena todas las instancias de eventos expandidos en memoria sin aplicar límites de tamaño. Los usuarios deben actualizar a la versión 0.13.3 de Stalwart o posterior para recibir una solución. Si la actualización inmediata no es posible, implemente límites de memoria a nivel de contenedor/sistema; monitoree el uso de memoria del servidor en busca de picos inusuales; considere limitar la tasa de solicitudes CalDAV REPORT; y restrinja el acceso CalDAV solo a usuarios de confianza.