← volver
CVE-2024-11182

Stored XSS vulnerability in MDaemon Email Server

CVSS 5.3 MEDIUMEPSS 17.1%● KEVCWE-79
En resumen

MDaemon Email Server anterior a la versión 24.5.1c permite que atacantes envíen correos HTML maliciosos con código JavaScript oculto en etiquetas de imagen. Cuando un usuario accede al webmail, el script del atacante se ejecuta en el navegador, pudiendo robar credenciales o realizar acciones no autorizadas.

Detalle técnico

Vulnerabilidad XSS almacenado en la interfaz de webmail de MDaemon Email Server a través de contenido HTML de correo no sanitizado, específicamente JavaScript incrustado en atributos de etiqueta img. Vector de ataque requiere interacción del usuario (abrir correo), pero la persistencia se logra mediante el correo malicioso almacenado; la explotación exitosa otorga al atacante acceso a la sesión y capacidad de ejecutar acciones como el usuario víctima.

Resumen generado y traducido por IA a partir de la descripción oficial.
An XSS issue was discovered in MDaemon Email Server before version 24.5.1c. An attacker can send an HTML e-mail message with JavaScript in an img tag. This could allow a remote attacker to load arbitrary JavaScript code in the context of a webmail user's browser window.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N
Productos afectados
MDaemon · Email Server

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://files.mdaemon.com/mdaemon/beta/RelNotes_en.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-11182