Hai lỗ hổng bảo mật đã được tiết lộ trong bộ máy chủ thư nguồn mở Mailcow có thể bị khai thác bởi các tác nhân độc hại để đạt được việc thực thi mã tùy ý trên các trường hợp nhạy cảm.
Cả hai thiếu sót đều ảnh hưởng đến tất cả các phiên bản của phần mềm trước phiên bản 2024-04, được phát hành vào ngày 4 tháng 4 năm 2024. Các vấn đề đã được SonarSource tiết lộ một cách có trách nhiệm vào ngày 22 tháng 3 năm 2024.
Các lỗ hổng, được đánh giá mức độ nghiêm trọng vừa phải, được liệt kê dưới đây -
- CVE-2024-30270 (điểm CVSS: 6.7) - Lỗ hổng truyền qua đường dẫn ảnh hưởng đến hàm có tên "rspamd_maps()" có thể dẫn đến việc thực thi các lệnh tùy ý trên máy chủ bằng cách cho phép tác nhân đe dọa ghi đè lên bất kỳ tệp nào có thể được sửa đổi với người dùng "www-data"
- CVE-2024-31204 (điểm CVSS: 6.8) - Lỗ hổng cross-site scripting (XSS) thông qua cơ chế xử lý ngoại lệ khi không hoạt động trong DEV_MODE
Lỗ hổng thứ hai trong hai lỗ hổng bắt nguồn từ thực tế là nó lưu chi tiết về ngoại lệ mà không cần bất kỳ vệ sinh hoặc mã hóa nào, sau đó được hiển thị thành HTML và được thực thi dưới dạng JavaScript trong trình duyệt của người dùng.
Do đó, kẻ tấn công có thể lợi dụng kịch bản để tiêm các tập lệnh độc hại vào bảng quản trị bằng cách kích hoạt các ngoại lệ với đầu vào được tạo đặc biệt, cho phép chúng chiếm quyền điều khiển phiên và thực hiện các hành động đặc quyền trong ngữ cảnh của quản trị viên.
Nói cách khác, bằng cách kết hợp hai lỗ hổng, bên độc hại có thể kiểm soát tài khoản trên máy chủ Mailcow và truy cập vào dữ liệu nhạy cảm cũng như thực hiện các lệnh.
Trong kịch bản tấn công lý thuyết, tác nhân đe dọa có thể tạo một email HTML chứa hình nền CSS được tải từ một URL từ xa, sử dụng nó để kích hoạt việc thực thi tải trọng XSS.
"Kẻ tấn công có thể kết hợp cả hai lỗ hổng để thực thi mã tùy ý trên máy chủ bảng quản trị của một phiên bản mailcow dễ bị tấn công", nhà nghiên cứu lỗ hổng SonarSource Paul Gerste cho biết.