Deux vulnérabilités de sécurité ont été révélées dans la suite de serveurs de messagerie open source Mailcow qui pourraient être exploitées par des acteurs malveillants pour réaliser l’exécution de code arbitraire sur des instances sensibles.
Ces deux défauts affectent toutes les versions du logiciel antérieures à version 2024-04qui a été publié le 4 avril 2024. Les problèmes étaient divulgué de manière responsable par SonarSource le 22 mars 2024.
Les défauts, classés en gravité modérée, sont répertoriés ci-dessous :
- CVE-2024-30270 (Score CVSS : 6,7) – Une vulnérabilité de traversée de chemin impactant une fonction nommée « rspamd_maps() » qui pourrait entraîner l’exécution de commandes arbitraires sur le serveur en permettant à un acteur malveillant d’écraser tout fichier pouvant être modifié avec le « www- données » utilisateur
- CVE-2024-31204 (score CVSS : 6,8) – Une vulnérabilité de cross-site scripting (XSS) via le mécanisme de gestion des exceptions lorsqu’il ne fonctionne pas dans DEV_MODE
La deuxième des deux failles réside dans le fait qu’elle enregistre les détails de l’exception sans aucune vérification ni codage, qui sont ensuite rendus en HTML et exécutés en JavaScript dans le navigateur de l’utilisateur.
En conséquence, un attaquant pourrait profiter du scénario pour injecter des scripts malveillants dans le panneau d’administration en déclenchant des exceptions avec des entrées spécialement conçues, lui permettant ainsi de détourner la session et d’effectuer des actions privilégiées dans le contexte d’un administrateur.
En d’autres termes, en combinant les deux failles, il est possible qu’une partie malveillante prenne le contrôle de comptes sur un serveur Mailcow, accède à des données sensibles et exécute des commandes.
Dans un scénario d’attaque théorique, un acteur malveillant peut créer un e-mail HTML contenant une image d’arrière-plan CSS chargée à partir d’une URL distante, en l’utilisant pour déclencher l’exécution d’une charge utile XSS.
« Un attaquant peut combiner les deux vulnérabilités pour exécuter du code arbitraire sur le serveur du panneau d’administration d’une instance mailcow vulnérable », a déclaré Paul Gerste, chercheur en vulnérabilités chez SonarSource.
« La condition requise est qu’un utilisateur administrateur visualise un e-mail malveillant tout en étant connecté au panneau d’administration. La victime n’a pas besoin de cliquer sur un lien dans l’e-mail ou d’effectuer toute autre interaction avec l’e-mail lui-même, elle doit simplement continuer à utiliser le panneau d’administration après avoir consulté l’e-mail.