Уязвимости в Mailcow могут привести к удаленному выполнению кода - «Новости» » Интернет технологии
sitename
Razer выпустила коллекцию геймерских аксессуаров по мотивам Zenless Zone Zero - «Новости сети»
Razer выпустила коллекцию геймерских аксессуаров по мотивам Zenless Zone Zero - «Новости сети»
 Инженеры Meta✴ создали лазерный дисплей толщиной 2 мм и обещают революцию в смарт-очках - «Новости сети»
Инженеры Meta✴ создали лазерный дисплей толщиной 2 мм и обещают революцию в смарт-очках - «Новости сети»
 Видео: робот Atlas от Boston Dynamics продолжает работать, пока его толкают, мешают и отбирают вещи - «Новости сети»
Видео: робот Atlas от Boston Dynamics продолжает работать, пока его толкают, мешают и отбирают вещи - «Новости сети»
 США взялись за спасение Intel: компания стала частично государственной - «Новости сети»
США взялись за спасение Intel: компания стала частично государственной - «Новости сети»
 Dark Souls, BioShock и Dishonored в одном флаконе: журналисты показали 33 минуты геймплея ролевого боевика Valor Mortis от создателей Ghostrunner - «Новости сети»
Dark Souls, BioShock и Dishonored в одном флаконе: журналисты показали 33 минуты геймплея ролевого боевика Valor Mortis от создателей Ghostrunner - «Новости сети»
 Новые возможности автоматического определителя номера для бизнеса от Яндекса — «Блог для вебмастеров»
Новые возможности автоматического определителя номера для бизнеса от Яндекса — «Блог для вебмастеров»
 Смартфон realme 15 Pro с Snapdragon 7 Gen 4 и батареей на 7000 мА·ч поступил в глобальную продажу - «Новости сети»
Смартфон realme 15 Pro с Snapdragon 7 Gen 4 и батареей на 7000 мА·ч поступил в глобальную продажу - «Новости сети»
 «Китайцы показывают, как надо делать игры»: геймеров впечатлил трейлер фэнтезийного боевика Swords of Legends в духе Black Myth: Wukong - «Новости сети»
«Китайцы показывают, как надо делать игры»: геймеров впечатлил трейлер фэнтезийного боевика Swords of Legends в духе Black Myth: Wukong - «Новости сети»
 Последнее обновление Windows 11 24H2 ломает SSD и HDD, но не везде - «Новости сети»
Последнее обновление Windows 11 24H2 ломает SSD и HDD, но не везде - «Новости сети»
 GeForce RTX 5080 теперь доступна за $20 в месяц — облачный игровой сервис Nvidia GeForce Now обновил инфраструктуру - «Новости сети»
GeForce RTX 5080 теперь доступна за $20 в месяц — облачный игровой сервис Nvidia GeForce Now обновил инфраструктуру - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Преимущества стилей » Уязвимости в Mailcow могут привести к удаленному выполнению кода - «Новости»

✔Уязвимости в Mailcow могут привести к удаленному выполнению кода - «Новости»

21 июня 2024 294 Преимущества стилей / Новости / Вёрстка / Добавления стилей / Типы носителей / Изображения / Ссылки / HTML, CSS, JavaScript. 0

В опенсорсном почтовом сервере Mailcow обнаружены сразу две уязвимости, которые могут использоваться злоумышленниками для выполнения произвольного кода.


Обе проблемы затрагивают все версии Mailcow до версии 2024-04, которая была выпущена 4 апреля 2024 года. Уязвимости были обнаружены специалистами компании SonarSource в марте 2024 года.



  • CVE-2024-30270 (6,7 балла по шкале CVSS): уязвимость типа path traversal в функции rspamd_maps(), которая может привести к выполнению произвольных команд на сервере, позволяя злоумышленнику перезаписать любой файл, который может быть изменен пользователем www-data.

  • CVE-2024-31204 (6,8 балла по шкале CVSS): XSS-уязвимость в механизме обработки исключений при работе не в режиме DEV_MODE.


Исследователи рассказывают, что проблема CVE-2024-31204 связана с тем, что при обработке исключений сохраняется информация о них без какой-либо обработки и шифрования, а затем преобразуется в HTML и выполняется как jаvascript в браузере пользователя.


В результате злоумышленник получает возможность внедрять вредоносные скрипты в панель администратора, инициируя исключения, что в итоге позволит ему перехватить сессию и выполнить привилегированные действия в контексте администратора.


Таким образом, объединив обе проблемы, атакующий может получить контроль над учетными записями на сервере Mailcow, получить доступ к конфиденциальным данным, а также возможность выполнять команды.




Специалисты рассказывают о теоретическом сценарии атаки, в рамках которого злоумышленник может создать HTML-письмо, содержащее фоновое CSS-изображение, загружаемое с удаленного URL-адреса, и использовать его для запуска и выполнения XSS-пейлоада.


«Атакующий может объединить обе уязвимости и выполнить произвольный код в панели администратора уязвимого экземпляра Mailcow, — предупредили в SonarSource. — Для этого необходимо, чтобы администратор просмотрел вредоносное письмо, будучи авторизованным в панели администратора. Жертве не нужно переходить по ссылкам из письма или выполнять какие-то действия с самим письмом,  нужно просто продолжить использовать панель администратора после просмотра письма».

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

В опенсорсном почтовом сервере Mailcow обнаружены сразу две уязвимости, которые могут использоваться злоумышленниками для выполнения произвольного кода. Обе проблемы затрагивают все версии Mailcow до версии 2024-04, которая была выпущена 4 апреля 2024 года. Уязвимости были обнаружены специалистами компании SonarSource в марте 2024 года. CVE-2024-30270 (6,7 балла по шкале CVSS): уязвимость типа path traversal в функции rspamd_maps(), которая может привести к выполнению произвольных команд на сервере, позволяя злоумышленнику перезаписать любой файл, который может быть изменен пользователем www-data. CVE-2024-31204 (6,8 балла по шкале CVSS): XSS-уязвимость в механизме обработки исключений при работе не в режиме DEV_MODE. Исследователи рассказывают, что проблема CVE-2024-31204 связана с тем, что при обработке исключений сохраняется информация о них без какой-либо обработки и шифрования, а затем преобразуется в HTML и выполняется как jаvascript в браузере пользователя. В результате злоумышленник получает возможность внедрять вредоносные скрипты в панель администратора, инициируя исключения, что в итоге позволит ему перехватить сессию и выполнить привилегированные действия в контексте администратора. Таким образом, объединив обе проблемы, атакующий может получить контроль над учетными записями на сервере Mailcow, получить доступ к конфиденциальным данным, а также возможность выполнять команды. Специалисты рассказывают о теоретическом сценарии атаки, в рамках которого злоумышленник может создать HTML-письмо, содержащее фоновое CSS-изображение, загружаемое с удаленного URL-адреса, и использовать его для запуска и выполнения XSS-пейлоада. «Атакующий может объединить обе уязвимости и выполнить произвольный код в панели администратора уязвимого экземпляра Mailcow, — предупредили в SonarSource. — Для этого необходимо, чтобы администратор просмотрел вредоносное письмо, будучи авторизованным в панели администратора. Жертве не нужно переходить по ссылкам из письма или выполнять какие-то действия с самим письмом, нужно просто продолжить использовать панель администратора после просмотра письма».
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: