Mailcow açık kaynaklı posta sunucusu paketinde, kötü niyetli aktörler tarafından duyarlı örneklerde rastgele kod yürütülmesini sağlamak için kullanılabilecek iki güvenlik açığı açıklandı.
Her iki eksiklik de yazılımın 4 Nisan 2024’te yayımlanan 2024-04 sürümünden önceki tüm sürümlerini etkiliyor. Sorunlar, 22 Mart 2024’te SonarSource tarafından sorumlu bir şekilde açıklandı.
Orta şiddette olarak derecelendirilen kusurlar aşağıda listelenmiştir:
- CVE-2024-30270 (CVSS puanı: 6,7) – “rspamd_maps()” adlı işlevi etkileyen, bir tehdit aktörünün “www- veri” kullanıcısı
- CVE-2024-31204 (CVSS puanı: 6,8) – DEV_MODE’da çalışmadığında istisna işleme mekanizması aracılığıyla siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı
İki kusurdan ikincisi, istisnanın ayrıntılarını herhangi bir temizleme veya kodlama olmadan kaydetmesi ve bunların daha sonra HTML’ye dönüştürülmesi ve kullanıcıların tarayıcısında JavaScript olarak yürütülmesi gerçeğinden kaynaklanmaktadır.
Sonuç olarak, bir saldırgan, özel hazırlanmış girdilerle istisnaları tetikleyerek yönetici paneline kötü amaçlı komut dosyaları yerleştirme senaryosundan yararlanabilir ve bu sayede oturumu ele geçirmesine ve bir yönetici bağlamında ayrıcalıklı eylemler gerçekleştirmesine etkin bir şekilde olanak tanıyabilir.
Başka bir deyişle, iki kusuru birleştirerek, kötü niyetli bir tarafın Mailcow sunucusundaki hesapların kontrolünü ele geçirmesi, hassas verilere erişim sağlaması ve komutları yürütmesi mümkündür.
Teorik bir saldırı senaryosunda, bir tehdit aktörü uzak bir URL’den yüklenen CSS arka plan resmini içeren bir HTML e-postası oluşturabilir ve bunu bir XSS yükünün yürütülmesini tetiklemek için kullanabilir.
SonarSource güvenlik açığı araştırmacısı Paul Gerste, “Bir saldırgan, savunmasız bir posta kodu örneğinin yönetici paneli sunucusunda rastgele kod yürütmek için her iki güvenlik açığını birleştirebilir” dedi.
“Bunun şartı, yönetici kullanıcının yönetici panelinde oturum açarken kötü amaçlı bir e-postayı görüntülemesidir. Mağdurun e-postanın içindeki bir bağlantıya tıklaması veya e-postanın kendisi ile başka bir etkileşimde bulunması gerekmez; yalnızca kullanmaya devam etmesi gerekir. e-postayı görüntüledikten sonra yönetici paneline girin.”