Mailcow açık kaynaklı posta sunucusu paketinde, kötü niyetli aktörler tarafından duyarlı örneklerde rastgele kod yürütülmesini sağlamak için kullanılabilecek iki güvenlik açığı açıklandı.
Her iki eksiklik de yazılımın önceki tüm sürümlerini etkiler. sürüm 2024-044 Nisan 2024’te yayınlandı. Sorunlar şunlardı: sorumlu bir şekilde açıklandı 22 Mart 2024’te SonarSource tarafından.
Orta şiddette olarak derecelendirilen kusurlar aşağıda listelenmiştir:
- CVE-2024-30270 (CVSS puanı: 6,7) – “rspamd_maps()” adlı işlevi etkileyen, bir tehdit aktörünün “www- veri” kullanıcısı
- CVE-2024-31204 (CVSS puanı: 6,8) – DEV_MODE’da çalışmadığında istisna işleme mekanizması aracılığıyla siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı
İki kusurdan ikincisi, istisnanın ayrıntılarını herhangi bir temizleme veya kodlama olmadan kaydetmesi ve bunların daha sonra HTML’ye dönüştürülmesi ve kullanıcıların tarayıcısında JavaScript olarak yürütülmesi gerçeğinden kaynaklanmaktadır.
Sonuç olarak, bir saldırgan, özel hazırlanmış girdilerle istisnaları tetikleyerek yönetici paneline kötü amaçlı komut dosyaları yerleştirme senaryosundan faydalanabilir ve oturumu etkili bir şekilde ele geçirmesine ve bir yönetici bağlamında ayrıcalıklı eylemler gerçekleştirmesine olanak tanıyabilir.
Başka bir deyişle, iki kusuru birleştirerek, kötü niyetli bir tarafın Mailcow sunucusundaki hesapların kontrolünü ele geçirmesi, hassas verilere erişmesi ve komutları yürütmesi mümkündür.
Teorik bir saldırı senaryosunda, bir tehdit aktörü uzak bir URL’den yüklenen CSS arka plan resmini içeren bir HTML e-postası oluşturabilir ve bunu bir XSS yükünün yürütülmesini tetiklemek için kullanabilir.
SonarSource güvenlik açığı araştırmacısı Paul Gerste, “Bir saldırgan, savunmasız bir posta kodu örneğinin yönetici paneli sunucusunda rastgele kod yürütmek için her iki güvenlik açığını birleştirebilir” dedi.
“Bunun şartı, yönetici kullanıcının yönetici panelinde oturum açarken kötü amaçlı bir e-postayı görüntülemesidir. Mağdurun e-postanın içindeki bir bağlantıya tıklaması veya e-postanın kendisi ile başka bir etkileşimde bulunması gerekmez; yalnızca kullanmaya devam etmesi gerekir. e-postayı görüntüledikten sonra yönetici paneline girin.”
