Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Las fallas del servidor de correo de Mailcow exponen a los servidores a la ejecución remota de código
  • Tecnología

Las fallas del servidor de correo de Mailcow exponen a los servidores a la ejecución remota de código

teknomers 19 de Haziran de 2024 (Last updated: 19 de Haziran de 2024) 3 minutes read
Las fallas del servidor de correo de Mailcow exponen a


19 de junio de 2024Sala de redacciónSeguridad/vulnerabilidad del correo electrónico

Se han revelado dos vulnerabilidades de seguridad en el conjunto de servidores de correo de código abierto Mailcow que podrían ser aprovechadas por actores maliciosos para lograr la ejecución de código arbitrario en instancias susceptibles.

Ambas deficiencias afectan a todas las versiones del software antes de versión 2024-04que se publicó el 4 de abril de 2024. Los problemas fueron divulgado responsablemente por SonarSource el 22 de marzo de 2024.

Los defectos, clasificados en gravedad moderada, se enumeran a continuación:

  • CVE-2024-30270 (Puntuación CVSS: 6.7) – Una vulnerabilidad de recorrido de ruta que afecta a una función llamada “rspamd_maps()” que podría resultar en la ejecución de comandos arbitrarios en el servidor al permitir que un actor de amenazas sobrescriba cualquier archivo que pueda modificarse con el “www- usuario de datos
  • CVE-2024-31204 (Puntuación CVSS: 6,8): una vulnerabilidad de secuencias de comandos entre sitios (XSS) a través del mecanismo de manejo de excepciones cuando no se opera en DEV_MODE

El segundo de los dos defectos tiene su origen en el hecho de que guarda los detalles de la excepción sin ningún tipo de desinfección o codificación, que luego se procesan en HTML y se ejecutan como JavaScript en el navegador del usuario.

La seguridad cibernética

Como resultado, un atacante podría aprovechar el escenario para inyectar scripts maliciosos en el panel de administración activando excepciones con entradas especialmente diseñadas, lo que les permitiría secuestrar la sesión y realizar acciones privilegiadas en el contexto de un administrador.

Dicho de otra manera, al combinar las dos fallas, es posible que una parte malintencionada tome el control de las cuentas en un servidor de Mailcow y obtenga acceso a datos confidenciales, además de ejecutar comandos.

En un escenario de ataque teórico, un actor de amenazas puede crear un correo electrónico HTML que contenga una imagen de fondo CSS que se carga desde una URL remota y utilizarlo para desencadenar la ejecución de una carga útil XSS.

“Un atacante puede combinar ambas vulnerabilidades para ejecutar código arbitrario en el servidor del panel de administración de una instancia vulnerable de mailcow”, dijo el investigador de vulnerabilidades de SonarSource, Paul Gerste.

“El requisito para esto es que un usuario administrador vea un correo electrónico malicioso mientras está conectado al panel de administración. La víctima no tiene que hacer clic en un enlace dentro del correo electrónico ni realizar ninguna otra interacción con el correo electrónico, solo tiene que continuar usándolo. el panel de administración después de ver el correo electrónico.”

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Un constitucionalista, un estudioso del silencio, un científico que exalta el límite
Next: Upb: con políticas sin cambios maniobra 2025 de más de 20 mil millones

Related Stories

Videovigilancia, control de acceso y geolocalización: esto es lo que
  • Tecnología

Videovigilancia, control de acceso y geolocalización: esto es lo que realmente puede hacer su empleador, según la CNIL

teknomers 13 de Temmuz de 2026
Lego enfrenta uno de los mayores mitos de la Nasa
  • Tecnología

Lego enfrenta uno de los mayores mitos de la Nasa (y el resultado es espléndido)

teknomers 12 de Temmuz de 2026
Cómo Orange prepara su red para absorber 2 millones de
  • Tecnología

Cómo Orange prepara su red para absorber 2 millones de clientes más este verano

teknomers 12 de Temmuz de 2026

You May Have Missed

« Me sorprende que aún estemos así »: dos jugadores
  • Deporte

« Me sorprende que aún estemos así »: dos jugadores españoles defienden a los Bleus tras los comentarios racistas de su antiguo Primer Ministro

teknomers 13 de Temmuz de 2026
  • Cultura

« Hace soñar al mundo entero »: el gran concierto de París para el 14 de julio será transmitido en 70 países

teknomers 13 de Temmuz de 2026
Videovigilancia, control de acceso y geolocalización: esto es lo que
  • Tecnología

Videovigilancia, control de acceso y geolocalización: esto es lo que realmente puede hacer su empleador, según la CNIL

teknomers 13 de Temmuz de 2026
"Se utilizará para las operaciones del tórax y para los
  • salud

“Se utilizará para las operaciones del tórax y para los niños…”: ¿por qué este centro hospitalario de este departamento rural se equipa con un robot quirúrgico?

teknomers 13 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.