CVE-2025-34491
GFI MailEssentials < 21.8 MultiNode Insecure Deserialization
En resumen
GFI MailEssentials versiones anteriores a 21.8 posee una falla que permite a usuarios autenticados ejecutar código malicioso al enviar datos especialmente fabricados durante la configuración multi-servidor. Esto ocurre porque el software procesa objetos .NET serializados de forma insegura sin validación adecuada.
Detalle técnico
La vulnerabilidad surge de la deserialización insegura de objetos .NET (CWE-502) en el mecanismo de unión de MultiNode. Un atacante remoto autenticado puede explotarla mediante payloads serializados maliciosos que ejecutan código arbitrario durante la deserialización, eludiendo controles de seguridad en la configuración del clúster multi-servidor.
Resumen generado y traducido por IA a partir de la descripción oficial.
GFI MailEssentials prior to version 21.8 is vulnerable to a .NET deserialization issue. A remote and authenticated attacker can execute arbitrary code by sending crafted serialized .NET when joining to a Multi-Server setup.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Productos afectados
GFI · MailEssentials¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →