CVE-2025-34490

GFI MailEssentials < 21.8 XXE Arbitrary File Read

CVSS 6.5 MEDIUMEPSS 0.6%CWE-611

Em resumo

O GFI MailEssentials anterior à versão 21.8 possui uma falha que permite que atacantes autenticados leiam qualquer arquivo do servidor enviando requisições XML especialmente criadas. Isso é perigoso porque arquivos sensíveis como senhas ou dados de configuração podem ser expostos.

Detalhe técnico

A aplicação não valida adequadamente entrada XML, permitindo ataques de injeção XXE. Um atacante remoto autenticado pode explorar essa vulnerabilidade ao enviar payloads XML maliciosos para acessar arquivos arbitrários no sistema, potencialmente divulgando dados sensíveis de configuração, credenciais ou outras informações confidenciais.

Resumo gerado e traduzido por IA a partir da descrição oficial.

GFI MailEssentials prior to version 21.8 is vulnerable to an XML External Entity (XXE) issue. An authenticated and remote attacker can send crafted HTTP requests to read arbitrary system files.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Produtos afetados

GFI · MailEssentials

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://frycos.github.io/vulns4free/2025/04/28/mailessentials.html https://gfi.ai/products-and-solutions/network-security-solutions/mailessentials/resources/documentation/product-releases https://www.vulncheck.com/advisories/gfi-mailessentials-xxe-arbitrary-file-read