✔Уязвимости в Mailcow могут привести к удаленному выполнению кода - «Новости»

В опенсорсном почтовом сервере Mailcow обнаружены сразу две уязвимости, которые могут использоваться злоумышленниками для выполнения произвольного кода.

Обе проблемы затрагивают все версии Mailcow до версии 2024-04, которая была выпущена 4 апреля 2024 года. Уязвимости были обнаружены специалистами компании SonarSource в марте 2024 года.

• CVE-2024-30270 (6,7 балла по шкале CVSS): уязвимость типа path traversal в функции rspamd_maps(), которая может привести к выполнению произвольных команд на сервере, позволяя злоумышленнику перезаписать любой файл, который может быть изменен пользователем www-data.


• CVE-2024-31204 (6,8 балла по шкале CVSS): XSS-уязвимость в механизме обработки исключений при работе не в режиме DEV_MODE.

Исследователи рассказывают, что проблема CVE-2024-31204 связана с тем, что при обработке исключений сохраняется информация о них без какой-либо обработки и шифрования, а затем преобразуется в HTML и выполняется как jаvascript в браузере пользователя.

В результате злоумышленник получает возможность внедрять вредоносные скрипты в панель администратора, инициируя исключения, что в итоге позволит ему перехватить сессию и выполнить привилегированные действия в контексте администратора.

Таким образом, объединив обе проблемы, атакующий может получить контроль над учетными записями на сервере Mailcow, получить доступ к конфиденциальным данным, а также возможность выполнять команды.

Специалисты рассказывают о теоретическом сценарии атаки, в рамках которого злоумышленник может создать HTML-письмо, содержащее фоновое CSS-изображение, загружаемое с удаленного URL-адреса, и использовать его для запуска и выполнения XSS-пейлоада.