CVE-2025-34490
GFI MailEssentials < 21.8 XXE Arbitrary File Read
En resumen
GFI MailEssentials anterior a la versión 21.8 tiene una falla que permite que atacantes autenticados lean cualquier archivo del servidor enviando solicitudes XML especialmente diseñadas. Esto es peligroso porque archivos sensibles como contraseñas o datos de configuración podrían ser expuestos.
Detalle técnico
La aplicación no valida adecuadamente la entrada XML, permitiendo ataques de inyección XXE. Un atacante remoto autenticado puede explotar esta vulnerabilidad enviando payloads XML maliciosos para acceder a archivos arbitrarios en el sistema, potencialmente revelando datos sensibles de configuración, credenciales u otra información confidencial.
Resumen generado y traducido por IA a partir de la descripción oficial.
GFI MailEssentials prior to version 21.8 is vulnerable to an XML External Entity (XXE) issue. An authenticated and remote attacker can send crafted HTTP requests to read arbitrary system files.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Productos afectados
GFI · MailEssentials¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →