Se han revelado dos vulnerabilidades de seguridad en el conjunto de servidores de correo de código abierto Mailcow que podrían ser aprovechadas por actores maliciosos para lograr la ejecución de código arbitrario en instancias susceptibles.
Ambas deficiencias afectan a todas las versiones del software antes de versión 2024-04que se publicó el 4 de abril de 2024. Los problemas fueron divulgado responsablemente por SonarSource el 22 de marzo de 2024.
Los defectos, clasificados en gravedad moderada, se enumeran a continuación:
- CVE-2024-30270 (Puntuación CVSS: 6.7) – Una vulnerabilidad de recorrido de ruta que afecta a una función llamada «rspamd_maps()» que podría resultar en la ejecución de comandos arbitrarios en el servidor al permitir que un actor de amenazas sobrescriba cualquier archivo que pueda modificarse con el «www- usuario de datos
- CVE-2024-31204 (Puntuación CVSS: 6,8): una vulnerabilidad de secuencias de comandos entre sitios (XSS) a través del mecanismo de manejo de excepciones cuando no se opera en DEV_MODE
El segundo de los dos defectos tiene su origen en el hecho de que guarda los detalles de la excepción sin ningún tipo de desinfección o codificación, que luego se procesan en HTML y se ejecutan como JavaScript en el navegador del usuario.
Como resultado, un atacante podría aprovechar el escenario para inyectar scripts maliciosos en el panel de administración activando excepciones con entradas especialmente diseñadas, lo que les permitiría secuestrar la sesión y realizar acciones privilegiadas en el contexto de un administrador.
Dicho de otra manera, al combinar las dos fallas, es posible que una parte malintencionada tome el control de las cuentas en un servidor de Mailcow y obtenga acceso a datos confidenciales, además de ejecutar comandos.
En un escenario de ataque teórico, un actor de amenazas puede crear un correo electrónico HTML que contenga una imagen de fondo CSS que se carga desde una URL remota y utilizarlo para desencadenar la ejecución de una carga útil XSS.
«Un atacante puede combinar ambas vulnerabilidades para ejecutar código arbitrario en el servidor del panel de administración de una instancia vulnerable de mailcow», dijo el investigador de vulnerabilidades de SonarSource, Paul Gerste.
«El requisito para esto es que un usuario administrador vea un correo electrónico malicioso mientras está conectado al panel de administración. La víctima no tiene que hacer clic en un enlace dentro del correo electrónico ni realizar ninguna otra interacción con el correo electrónico, solo tiene que continuar usándolo. el panel de administración después de ver el correo electrónico.»