Архив метки: MDaemon

Если об эксплуатации уязвимости никто не пишет в паблике, это ещё не значит, что об эксплуатации никому не известно

Добавить комментарий

Если об эксплуатации уязвимости никто не пишет в паблике, это ещё не значит, что об эксплуатации никому не известно

Если об эксплуатации уязвимости никто не пишет в паблике, это ещё не значит, что об эксплуатации никому не известно. Исследователи могут и молчать. 😉 В продолжение темы про недоисследованные уязвимости хочется обратить внимание на последний кейс с XSS уязвимостями в MDaemon и Zimbra. Эти уязвимости были устранены в ноябре и феврале 2024 года. У них были "средний" CVSS: 5.3 и 6.1. Тип уязвимости XSS также не является супер-критичным. Не было никаких причин приоритизировать исправление этих уязвимостей.

ПРИ ЭТОМ исследователи ESET ещё в 2024 году знали, что эти уязвимости эксплуатируются в атаках. Они сами наблюдали эту эксплуатацию. И они просто МОЛЧАЛИ до 15 мая 2025 года. Как минимум 5,5 месяцев они не выдавали информацию, которая могла бы повысить приоритет устранения этих уязвимостей и защитить пользователей от атак. Ни вендорам не сообщали, ни в CISA KEV. 🤷‍♂️

Так что не ждите сообщений об атаках - обновляйтесь при первой возможности!

Про уязвимость Cross Site Scripting - MDaemon Email Server (CVE-2024-11182)

Добавить комментарий

Про уязвимость Cross Site Scripting - MDaemon Email Server (CVE-2024-11182)

Про уязвимость Cross Site Scripting - MDaemon Email Server (CVE-2024-11182). Злоумышленник может отправить электронное письмо в формате HTML со зловредным JavaScript-кодом в теге img. Если пользователь откроет письмо в веб-интерфейсе почтового сервера MDaemon, зловредный JavaScript-код выполнится в контексте окна веб-браузера. Это позволяет злоумышленнику украсть учётные данные, обойти 2FA, получить доступ к контактам и почтовым сообщениям.

1 ноября 2024 года исследователи компании ESET обнаружили эксплуатацию уязвимости в реальных атаках. Они связали эксплуатацию этой, а также нескольких других уязвимостей в веб-интерфейсах почтовых серверов (Roundcube: CVE‑2023‑43770, CVE-2020-35730; Zimbra: CVE-2024-27443; Horde) в общую операцию "RoundPress".

Версия MDaemon 24.5.1, устраняющая уязвимость, вышла 14 ноября 2024 года. Однако информацию об атаках и PoC эксплоита ESET опубликовали только 15 мая 2025 года. 🤷‍♂️ С 19 мая уязвимость в CISA KEV.