Про уязвимость Cross Site Scripting - MDaemon Email Server (CVE-2024-11182). Злоумышленник может отправить электронное письмо в формате HTML со зловредным JavaScript-кодом в теге img. Если пользователь откроет письмо в веб-интерфейсе почтового сервера MDaemon, зловредный JavaScript-код выполнится в контексте окна веб-браузера. Это позволяет злоумышленнику украсть учётные данные, обойти 2FA, получить доступ к контактам и почтовым сообщениям.
1 ноября 2024 года исследователи компании ESET обнаружили эксплуатацию уязвимости в реальных атаках. Они связали эксплуатацию этой, а также нескольких других уязвимостей в веб-интерфейсах почтовых серверов (Roundcube: CVE‑2023‑43770, CVE-2020-35730; Zimbra: CVE-2024-27443; Horde) в общую операцию "RoundPress".
Версия MDaemon 24.5.1, устраняющая уязвимость, вышла 14 ноября 2024 года. Однако информацию об атаках и PoC эксплоита ESET опубликовали только 15 мая 2025 года. 🤷♂️ С 19 мая уязвимость в CISA KEV.
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.