CVE-2024-11182

Stored XSS vulnerability in MDaemon Email Server

CVSS 5.3 MEDIUMEPSS 17.1%● KEVCWE-79

Em resumo

O MDaemon Email Server anterior à versão 24.5.1c permite que atacantes enviem emails HTML maliciosos com código JavaScript oculto em tags de imagem. Quando um usuário acessa o webmail, o script do atacante é executado no navegador, podendo roubar credenciais ou realizar ações não autorizadas.

Detalhe técnico

Vulnerabilidade XSS armazenado na interface de webmail do MDaemon Email Server através de conteúdo HTML de email não sanitizado, especificamente JavaScript embutido em atributos de tag img. Vetor de ataque exige interação do usuário (abrir email), mas a persistência é alcançada através do email malicioso armazenado; exploração bem-sucedida concede ao atacante acesso à sessão e capacidade de executar ações como o usuário vítima.

Resumo gerado e traduzido por IA a partir da descrição oficial.

An XSS issue was discovered in MDaemon Email Server before version 24.5.1c. An attacker can send an HTML e-mail message with JavaScript in an img tag. This could allow a remote attacker to load arbitrary JavaScript code in the context of a webmail user's browser window.

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N

Produtos afetados

MDaemon · Email Server

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://files.mdaemon.com/mdaemon/beta/RelNotes_en.html https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-11182